Die „Most Wanted“-Malware des Monats Dezember 2018

Malware Downloader SLoad steigt zum ersten Mal in die Top 10 auf

Maya Horowitz, Threat Intelligence und Forschungsgruppenleiterin bei Check Point, sagt dazu:

„Der Bericht vom Dezember listet SLoad zum ersten Mal in den Top 10. Der plötzliche Anstieg verstärkt den wachsenden Trend zu schädlicher, vielseitiger Malware im Global Threat Index, wobei sich die Top 10 zu gleichen Teilen auf Cryptominer und Malware verteilen. Die Vielfalt der Malware im Index macht es unerlässlich, dass Unternehmen eine vielschichtige Cybersicherheitsstrategie anwenden, die sowohl vor etablierten Malware-Familien als auch vor neuen Bedrohungen schützt.“

Die Top 3 ‘Most Wanted’ Malware im Monat Dezember 2018:

* Die Pfeile beziehen sich auf die Rangfolgeänderung gegenüber dem Vormonat.

↑ Emotet – Fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-Emails verbreitet werden, die schädliche Anhänge oder Links enthalten.

↑ SLoad - SLoad ist ein PowerShell-Downloader, der am häufigsten den Ramnit-Banking-Trojaner nachlädt und viele Spionagefunktionen bietet. Die Malware sammelt Informationen über das infizierte System, einschließlich einer Liste der laufenden Prozesse wie Outlook und Citrix. SLoad kann auch Screenshots erstellen und den DNS-Cache auf bestimmte Domänen (z.B. gezielt Banken) überprüfen sowie externe Binärdateien laden.

↓ Coinhive - Cryptominer, der entwickelt wurde, um Online-Mining der Cryptowährung Monero durchzuführen, während ein Benutzer eine Webseite besucht, ohne dass der Nutzer es merkt, zustimmt oder am Gewinn beteiligt wird. Das implementierte JavaScript nutzt große Anteile der Rechenressourcen der Endbenutzer, um Münzen zu schürfen und kann damit das System zum Absturz bringen.

Die Sicherheitsforscher von Check Point analysierten auch die am häufigsten genutzten Cyber-Schwachstellen. Auf dem ersten Platz blieb CVE-2017-7269, dessen globale Auswirkungen ebenfalls leicht auf 49 Prozent stiegen, verglichen mit 47 Prozent im November. An zweiter Stelle lag OpenSSL TLS DTLS Heartbeat Information Disclosure mit einem Einfluss von 42 Prozent, dicht gefolgt von PHPMyAdmin Misconfiguration Code Injection mit einem Einfluss von 41 Prozent.

Die Top 3 ‘Most Exploited’ Schwachstellen im Dezember 2018:

↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) - Durch das Senden einer Anforderung über ein Netzwerk an Microsoft Windows Server 2003 R2 über Microsoft Internet Information Services 6.0 kann ein Angreifer von außen beliebigen Code ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Pufferüberlaufschwachstelle zurückzuführen, die durch eine unsachgemäße Validierung eines langen Headers in einer HTTP-Anfrage verursacht wurde.

↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) - Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.

↑ Web servers PHPMyAdmin Misconfiguration Code Injection - In PHPMyAdmin wurde eine Schwachstelle bei der Codeinjektion gemeldet. Die Schwachstelle ist auf eine Fehlkonfiguration von PHPMyAdmin zurückzuführen. Ein Angreifer kann diese Schwachstelle von außen nutzen, indem er eine speziell gestaltete HTTP-Anfrage an das Ziel sendet.

 * Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten kollaborativen Netzwerk zur Bekämpfung der Cyberkriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites und identifiziert täglich Millionen von Malware-Typen.