Malware: Cyberkriminelle nutzen die Angst vor dem Coronavirus

Antiviren-Engines mit Einzelerkennung helfen Sicherheitsanalytikern nur begrenzt

Von unserem Gastautor Chris Carlson, VP Product and Technology bei Qualys

[datensicherheit.de, 28.04.2020] Cyberkriminelle machen sich gern Großereignisse und aufsehenerregende Nachrichten zunutze, die Millionen von Menschen interessieren, um Malware leicht und effektiv an den Mann zu bringen. So nutzten sie in der Vergangenheit schon Themen wie internationale Sportwettkämpfe, Promi-Scheidungen oder Wahlen als Vehikel zur Verbreitung von Schadprogrammen.

Die Coronavirus-Pandemie (COVID-19) ist der jüngste Aufhänger für solche Angriffe. Die Krise schafft ideale Bedingungen für eine großflächige Verbreitung von Malware: eine riesige Angriffsfläche, die sowohl Unternehmen als auch private Nutzer umfasst, Angst und Unsicherheit wegen der Auswirkungen des Virus und eine verstärkte Nutzung von sozialen Medien und direkter elektronischer Kommunikation, um Neuigkeiten, Informationen und Meinungen zu verbreiten.

In der vergangenen Woche machte sich ein neuer Malware-Angriff diese Situation zunutze. Eine Gruppe von Cyberkriminellen entwickelte eine gefälschte Corona-Map-Anwendung für Windows, in die Malware zum Datendiebstahl eingebettet ist. Sobald ein Benutzer die Anwendung heruntergeladen und installiert hat, beginnt sie, sensible Daten wie Passwörter, Kreditkartennummern, Bankkontendaten und andere sensible Informationen zu sammeln und zu senden.

Bild: Qualys

Chris Carlson, VP Product and Technology bei Qualys

Dieser Angriff, der erstmals von Forschern bei Reason Labs beschrieben wurde, basiert auf einer Variante der Malware-Familie Azorult, die in die Corona-Map-Anwendung integriert ist und ausgeführt wird. Wenn diese Malware-Kampagne erfolgreich ist, steht zu erwarten, dass weitere Varianten der Schadsoftware auftauchen und neben der gefälschten Corona-Map-Anwendung auch noch andere Auslieferungsmethoden entwickelt werden.

Antiviren-Engines mit Einzelerkennung helfen Sicherheitsanalytikern nur begrenzt

Zum Zeitpunkt der Abfassung dieses Beitrags zeigt VirusTotal, dass viele Antiviren-Engines (58 von 70) die Corona-Map-Malware erkennen. Das ist die gute Nachricht: Die meisten kommerziellen Produkte finden diese Malware, sofern der Virenschutz auf jedem Endgerät ordnungsgemäß installiert ist, ausgeführt wird und richtig konfiguriert ist.

Das Problem bei Antiviren-Engines mit Einzelerkennung ist jedoch, dass sie die tatsächliche Bedrohung oft nur begrenzt analysieren. Die Sicherheitsanalytiker erhalten zu wenig verwertbare Informationen, um feststellen zu können, ob die Corona-Map-Malware ihr Netzwerk wirklich infiziert hat. Dies gilt insbesondere dann, wenn die Malware-Autoren den Namen der infizierten Datei ändern, um der Erkennung zu entgehen.
Die VirusTotal-Liste zeigt auch, dass einige Anbieter, die die Corona-Map-Malware erkennen können, nicht den Namen der Malware-Familie aufführen. Stattdessen beschreiben sie die Bedrohung mit ganz allgemeinen Begriffen wie „Unsafe“, „Win/malicious_confidence_100% (W)“, „Malicious“, „Heuristic“, oder „Generic.ml“.  (Siehe: )
Abgesehen von der mangelnden Beschreibung dieser spezifischen Bedrohung, die den Sicherheitsteams die Feststellung erschwert, ob Systeme kompromittiert wurden, ist es mit solchen Lösungen oft auch nicht möglich, den Corona Map Malware-Angriff auf Passwörter und Daten von anderen potenziell unerwünschten, aber weniger riskanten Anwendungen und Programmen zu unterscheiden, wie etwa Coupon-Toolbars. Die Zeit von Sicherheitsanalytikern ist jedoch kostbar – sie müssen sich zuallererst auf die echten Bedrohungen in ihrer IT-Umgebung konzentrieren.

Sichtbarkeit mit Erkennung von Malware-Familien

Qualys Indication of Compromise (IOC) verfolgt bei der Endpunkterkennung und -reaktion (EDR) einen Ansatz zur Erkennung von Malware-Familien, der auf Threat Intelligence basiert. Malware wird nach Bedrohungsfamilien und Bedrohungskategorien klassifiziert, um den Sicherheitsanalytikern und Incident-Respondern umfassenderen Kontext zu liefern.

Im Fall der Corona-Map-Malware erkennt und bewertet die Lösung die Malware als „bösartig“ (der Punktwert 8 bezeichnet ein Dateiereignis, das jedoch nicht als Prozess oder mit Netzwerkverbindungen ausgeführt wird) und gibt den Namen der Malware-Familie („Azorult“) sowie die Malware-Kategorie („Trojaner“) an. Dadurch können Sicherheitsanalytiker schnell alle Systeme identifizieren, die mit Azorult infiziert sind, und automatisch eine Warnung ausgeben, wenn im Netzwerk Trojaner-Malware ausgeführt wird.

Mithilfe dynamischer Dashboards und Widgets, die für alle Anwendungen von Qualys verfügbar sind, können ganz einfach Trend-Widgets erstellt werden, um alle Azorult-Infektionen im Netzwerk zu verfolgen – unabhängig von Varianten oder Hashwerten – und sie mit aktiven Abhilfemaßnahmen abzugleichen. Der nachstehende Screenshot zeigt aktive Azorult-Infektionen an, jedoch keine Abhilfemaßnahmen. In einem solchen Fall sollten die Sicherheitsanalytiker die Problembehebung priorisieren, um alle Spuren der Malware-Familie Azorult einzudämmen und zu entfernen.

Die Qualys Cloud-Plattform

Die Qualys Cloud-Plattform bietet eine kontinuierliche „Always-on“-Bewertung des Sicherheits- und Compliance-Status der gesamten Umgebung und eine sekundenschnelle Übersicht über alle IT-Assets, egal, wo sich diese befinden. Die Sensoren von Qualys lassen sich einfach bereitstellen, werden zentral verwaltet und aktualisieren sich selbst. Sie sind als physische oder virtuelle Appliances oder als schlanke Agenten für Benutzer-Endgeräte, lokale Server und Cloud-Instanzen verfügbar. Alle Dienste sind über ein Webinterface in der Cloud zugänglich – Es muss also nichts installiert oder verwaltet werden.

Weitere Informationen zum Thema:

Qualys
Qualys Cloud Platform (Free-Trial)

datensicherheit.de, 22.04.2020
Datenschutz: EDSA beschließt weitere Leitlinien zu COVID-19

datensicherheit.de, 15.04.2020
Thales-Analyse zeigt: Cyberangriffe zu COVID-19 folgen der Ausbreitung des Virus

datensicherheit.de, 14.04.2020
COVID-19: Cyberangriffe auf Regierungen und medizinische Organisationen

datensicherheit.de, 01.04.2020
Hacker nutzen COVID-19-Krise: Smartphone-Nutzer oftmals das Ziel

datensicherheit.de, 31.03.2020
Vermeidung von Enpässen im Netz – Appell zu digitaler Besonnenheit

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern