der Malware mit der höchsten Verbreitungsrate vorgeschoben. Das US-amerikanisch-israelische Unternehmen hat gerade einen aktuellen globalen Bedrohungsindex veröffentlicht und warnt vor einem eindeutigen Trend: Cyber-Kriminelle setzen auf bewährte Malware-Tools, die sie jedoch beständig weiterentwickeln. So befindet sich laut Check Point weiterhin ein „alter Bekannter“ auf Platz 1 des Malware-Bedrohungsrankings: Qbot – und dass allen Bemühungen zum Trotz, die Ausbreitung der Malware durch das Blockieren der Makros in Office-Dateien zu verlangsamen. Die Kriminellen, die hinter der aktuellen Kampagne zur Verbreitung von Qbot stehen, haben ihre Strategien schnell angepasst. Beispielsweise nutzt Qbot neuerdings eine Schwachstelle in der Dynamic Link Library (DLL) im Windows 10 WordPad-Programm aus, um Endgeräte zu infizieren. Auch auf dem aktuellen 2. Platz der Malware-Top-Ten findet sich bereits lange bekannte Schadsoftware: Ein erstmals im Jahr 2016 entdeckter Infostealer namens „Formbook“, der ebenfalls Windows-Nutzern das Leben schwer macht und auf das Betriebssystem abzielt.
Besondere Sorge macht den Sicherheitsexperten von Check Point nichtsdestoweniger die rasante Ausbreitung von „GuLoader“. Wie das Forschungsteam des Unternehmens berichtet, schafft es die neueste Form des Malwareloaders mittels Anti-Analyse-Techniken unerkannt in bekannte öffentliche Cloud-Dienste, einschließlich Google Drive einzudringen. Wird sie dort abgespeichert, kann diese neue Version des Shellcode-basierten Downloaders die für die Schadaktivitäten benötigten Daten vollständig verschlüsselt ablegen. „Die GuLoader-Malware, die von Cyberkriminellen häufig verwendet wird, um die Erkennung durch Antivirenprogramme zu umgehen, hat sich stark verändert“, so Check-Point-Experten. Die jüngste Version nutze eine ausgeklügelte Technik, um Code in einem legitimen Prozess zu ersetzen und so die Sicherheits-Tools zur Prozessüberwachung zu umgehen. Die Nutzdaten seien vollständig verschlüsselt und blieben so unerkannt. Diese einzigartige Mischung aus Verschlüsselung, rohem Binärformat und Trennung vom Loader mache die aktuell von Cyber-Kriminellen verbreiteten Payloads für Antivirenprogramme unsichtbar und stelle eine erhebliche Bedrohung für Nutzer und Unternehmen weltweit dar.
„Öffentliche Tools und Dienste werden zunehmend von Cyberkriminellen ausgenutzt“, kommentiert Maya Horowitz, VP Research bei Check Point Software die aktuelle Entwicklung. „Die Vertrauenswürdigkeit einer Quelle garantiert keine vollständige Sicherheit mehr. Dies unterstreicht den dringenden Bedarf an Aufklärung über verdächtige Aktivitäten. Wir raten dringend davon ab, … Anhänge herunterzuladen, wenn die Authentizität und der harmlose Charakter der Anfrage nicht bestätigt wurden.“ Als „Guloader“ Ende 2019 zum ersten Mal auftauchte, wurde er zum Herunterladen von Parallax RAT eingesetzt, tauchte aber schnell auch in Verbindung mit anderen Fernzugriffstrojanern und Infostealern wie Agent Tesla, Netwire und FormBook auf. Es ist daher kein Zufall, dass es der Infostealer „Formbook“, der Anmeldeinformationen aus Webbrowsern und Tastatureingaben überwacht und protokolliert und Dateien herunterladen und ausführen kann, wenn es aus der Ferne dazu angewiesen wird, auf den 2. Platz im Bedrohungsranking „geschafft“ hat. Erstmals 2016 entdeckt, wird „Formbook“ in Underground-Hacking-Foren als Malware-as-a-Service vermarktet –und scheint sich aufgrund der leistungsstarken Umgehungstechniken, über die er verfügt, und dank seines relativ niedrigen Preises zu einem Bestseller entwickelt zu haben.
