Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor

Im aktuellen Global Threat Index von Check Point tritt SLoad im Dezember 2018 zum ersten Mal in die Top-Malware-Indexliste ein

[datensicherheit.de, 15.01.2019] Check Point® Software Technologies Ltd. hat seinen neuesten Global Threat Index für Dezember 2018 veröffentlicht. Im Index für Deutschland taucht erstmals SLoad auf, ein PowerShell-Downloader, der häufig Ramnit-Banking-Trojaner nachlädt.

Generell führt jedoch die Cryptomining-Malware Emotet weiterhin den Index an und auch Coinhive ist zum 13. Mal in Folge unter den Top 3 Bedrohungen gelistet.

© Check Point

Maya Horowitz, Threat Intelligence und Forschungsgruppenleiterin bei Check Point, sagt dazu: „Der Bericht vom Dezember listet SLoad zum ersten Mal in den Top 10. Der plötzliche Anstieg verstärkt den wachsenden Trend zu schädlicher, vielseitiger Malware im Global Threat Index, wobei sich die Top 10 zu gleichen Teilen auf Cryptominer und Malware verteilen. Die Vielfalt der Malware im Index macht es unerlässlich, dass Unternehmen eine vielschichtige Cybersicherheitsstrategie anwenden, die sowohl vor etablierten Malware-Familien als auch vor neuen Bedrohungen schützt.“

 Die Top 3 ‘Most Wanted’ Malware im Monat Dezember 2018:

* Die Pfeile beziehen sich auf die Rangfolgeänderung gegenüber dem Vormonat.

1. ↑ Emotet – Fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-Emails verbreitet werden, die schädliche Anhänge oder Links enthalten.
2. ↑ SLoad – SLoad ist ein PowerShell-Downloader, der am häufigsten den Ramnit-Banking-Trojaner nachlädt und viele Spionagefunktionen bietet. Die Malware sammelt Informationen über das infizierte System, einschließlich einer Liste der laufenden Prozesse wie Outlook und Citrix. SLoad kann auch Screenshots erstellen und den DNS-Cache auf bestimmte Domänen (z.B. gezielt Banken) überprüfen sowie externe Binärdateien laden.
3. ↓ Coinhive – Cryptominer, der entwickelt wurde, um Online-Mining der Cryptowährung Monero durchzuführen, während ein Benutzer eine Webseite besucht, ohne dass der Nutzer es merkt, zustimmt oder am Gewinn beteiligt wird. Das implementierte JavaScript nutzt große Anteile der Rechenressourcen der Endbenutzer, um Münzen zu schürfen und kann damit das System zum Absturz bringen.

Die Sicherheitsforscher von Check Point analysierten auch die am häufigsten genutzten Cyber-Schwachstellen. Auf dem ersten Platz blieb CVE-2017-7269, dessen globale Auswirkungen ebenfalls leicht auf 49 Prozent stiegen, verglichen mit 47 Prozent im November. An zweiter Stelle lag OpenSSL TLS DTLS Heartbeat Information Disclosure mit einem Einfluss von 42 Prozent, dicht gefolgt von PHPMyAdmin Misconfiguration Code Injection mit einem Einfluss von 41 Prozent.

Die Top 3 ‘Most Exploited’ Schwachstellen im Dezember 2018:

1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Durch das Senden einer Anforderung über ein Netzwerk an Microsoft Windows Server 2003 R2 über Microsoft Internet Information Services 6.0 kann ein Angreifer von außen beliebigen Code ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Pufferüberlaufschwachstelle zurückzuführen, die durch eine unsachgemäße Validierung eines langen Headers in einer HTTP-Anfrage verursacht wurde.
2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
3. ↑ Web servers PHPMyAdmin Misconfiguration Code Injection – In PHPMyAdmin wurde eine Schwachstelle bei der Codeinjektion gemeldet. Die Schwachstelle ist auf eine Fehlkonfiguration von PHPMyAdmin zurückzuführen. Ein Angreifer kann diese Schwachstelle von außen nutzen, indem er eine speziell gestaltete HTTP-Anfrage an das Ziel sendet.

* Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem nach eigenen Angaben  größten kollaborativen Netzwerk zur Bekämpfung der Cyberkriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites und identifiziert täglich Millionen von Malware-Typen.

* Die komplette Most Wanted Malware Top 10 im Dezember 2018 finden Sie im Check Point Blog:  http://www.checkpoint.com/threat-prevention-resources/index.html

Weitere Informationen zum Thema:

datensicherheit.de, 10.12.2018
Dr. Shifro: Check Point deckt neues Ransomware-Geschäftsmodell auf

datensicherheit.de, 22.11.2018
Apple-Betriebssysteme: Ransomware-Angriffe steigen um 500 Prozent an

datensicherheit.de, 18.07.2018
GlanceLove: Check Point veröffentlicht Details zu Android-Malware