Kryptowährungs-Malware wird im Untergrund angeboten

Originalbeitrag von Fernando Mercês, Senior Threat Researcher

Kryptowährungen geraten immer wieder in den Schlagzeilen, und manche Regierungen arbeiten an der Regulierung der daran beteiligten Transaktionen. Andere wiederum möchten die damit verbundenen Mining-Aktivitäten insgesamt stoppen. Cyberkriminelle sind sehr rege am Kryptowährungs-Mining beteiligt. Ihre Tätigkeiten reichen vom Missbrauch der Graphics Processing Units (GPUs) der Verbraucher-Geräte bis zu dem der Mobilgeräte. Mittlerweile gibt es auch im cyberkriminellen Untergrund so viele Kryptowährungs-Malware-Angebote, dass es auch Kriminellen schwer fallen muss zu entscheiden, welches das Beste ist. Kryptomalware hat ein klares Ziel, und zwar aus Kryptowährungstransaktionen Profit zu schlagen. Dies lässt sich über zwei verschiedene Methoden erreichen: Diebstahl von Kryptowährung und wiederholtes Mining auf den Geräten der Opfer (ohne dass diese es mitbekommen), auch Cryptojacking genannt.

Weiterlesen

Trend Micro Network Defense Tour in Österreich und der Schweiz

Komplexe Bedrohungen schneller erkennen und abwehren

Standardsicherheit reicht heute für die Erkennung getarnter Bedrohungen nicht mehr aus. Mit Trend Micro Network Defense können Sie zielgerichtete und komplexe Angriffe schneller identifizieren, analysieren und abwehren – bevor überhaupt ein Schaden entsteht.

Im Mittelpunkt von Network Defense steht Deep Discovery, die einzigartige Lösung zur Aufdeckung versteckter Bedrohungen in Echtzeit. Durch die Akquisition und Integration von TippingPoint wurde Network Defense zudem noch einmal entscheidend erweitert: TippingPoint Next Generation Intrusion Prevention schliesst Schwachstellen proaktiv und identifiziert selbst unbekannte Bedrohungen.

Besuchen Sie die Trend Micro Network Defense Tour und erfahren Sie mehr über unsere umfassende Abwehrstrategie für Ihr Netzwerk. Experten führen Sie mit technikorientierten Vorträgen, Live-Demos und Praxisbeispielen durch alle wichtigen Aspekte von Trend Micro Network Defense.

Dabei sein und helfen: Um fokussierten Know-how-Transfer in einem exklusiven Umfeld zu gewährleisten, erheben wir eine Trainingsgebühr von 70 CHF (Schweiz) / 60 Euro (Österreich) inkl. MwSt. Mit den Einnahmen unterstützt Trend Micro in der Schweiz die Stiftung Kinderhilfe Sternschnuppe und in Österreich die Stiftung Kindertraum.

Noch hat es freie Plätze in Linz, Wien, Bern und Zürich. Hier geht es zur Anmeldung

Webminer-Skript für Kryptowährung in AOL Werbeplattform eingefügt

Originalbeitrag von Chaoying Liu und Joseph C. Chen

Am 25. März entdeckten die Sicherheitsforscher von Trend Micro, dass die Zahl der vom Trend Micro Smart Protection Network gefundenen Kryptowährungs-Webminer plötzlich anstieg. Das Tracking des Miner-Verkehrs ergab, dass eine ganze Menge davon mit MSN[.]com in Japan in Verbindung stand. Die weitere Untersuchung zeigte, dass böswillige Akteure das Skript auf einer AOL-Werbeplattform modifiziert hatten, sodass auf der Site ein Webminer-Programm gestartet wurde. AOL ist davon benachrichtigt und hat den Miner am 27. März entfernt.

Die kompromittierten Anzeigen auf der AOL-Plattform erzeugten eine Vielzahl von Webminern (COINMINER_COINHIVE.E-JS). Die Zahl der einzigartigen Webminer-Funde erhöhte sich vom 24. März auf den 25. März um 108%. Dies zeigt die Effizienz der Kompromittierung der Plattform. Die Werbeanzeige befand sich auf der ersten Seite von MSN[.]com (normalerweise die Default-Seite von Microsofts Browser). Dies ist ein möglicher Grund für die dramatische Erhöhung der Entdeckungen, denn eine erhebliche Zahl von Nutzern würde automatisch auf die Seite umgeleitet.

Der Webminer-Verkehr war mit der bösartigen Domäne www[.]jqcdn[.]download verbunden. Dieses Ereignis kann als Teil einer Kampagne gewertet werden, denn es gab weitere vier Domänen, die seit 2017 mit diesem bestimmten Mining-Skript in Verbindung standen.

Bild 1. Die Zahl der Funde von einzigartigen Webminern steigt vom 24. März zum 25. März sprunghaft an

Es zeigte sich auch, dass dieselbe Kampagne mehr als 500 Websites kompromittiert hatte. Die Websites waren verbunden mit der Seite www[.]datasecu[.]download, die dieselben Mining-Skripts wie die AOL-Werbeplattform enthielt.

Wenn ein Nutzer MSN besucht und die verseuchte Werbung angezeigt wird, so führt der Browser das Webminer-Programm aus. Der Miner läuft, auch ohne dass der Nutzer auf die Werbung klickt, und stoppt erst, wenn die Seite geschlossen wird. Die Forscher fanden heraus, dass es sich um JavaScript-Code auf Basis von Coinhive handelt. Dieser Miner nutzt private Web-Miningpools, um typischerweise Gebühren für öffentliche Pools zu vermeiden.

Die Untersuchung der kompromittierten Sites von AOL zeigt, dass die Kampagne die bösartigen Inhalte in Amazon Web Service (AWS) S3-Buckets vorhält. Die Namen der S3-Buckets waren in einigen kompromittierten URLs sichtbar, sodass sie näher untersucht werden konnten. Sie waren völlig ungesichert, offen für jeden. Da liegt der Verdacht nahe, dass der legitime AWS-Administrator die Berechtigungen für seine S3-Buckets nicht richtig aufgesetzt hatte, sodass der Angreifer den gehosteten Inhalt modifizieren konnte.

Nicht abgesicherte Amazon S3-Server sind seit 2017 zum Problem geworden, und einige Kryptowährungs-Miningtaktiken haben sie in diesem Jahr schon verwendet. Während der Analyse war zu beobachten, dass manche Websites die Berechtigungen für ihre Buckets berichtigt hatten, doch bemerkten sie nicht den in die Inhalte eingefügten bösartigen Code. Weitere technische Details enthält der Originalbeitrag.

Neben der sorgfältigen Konfigurierung der Server sollten Unternehmen sich mithilfe einer für den Bedarf geeigneten Cloud-Sicherheitslösung schützen. Trend Micro Deep Security for Cloudkann proaktive Bedrohungserkennung und Verhinderung bieten, während Hybrid Cloud Security hybride Umgebungen mit physischen, virtuellen und Cloud-Workloads optimal schützen kann.

Trend Micro Deep Security as a Service ist für AWS, Azure und VMware optimiert, um Server sofort zu schützen. Die Lösung reduziert den Druck auf überlastete IT-Abteilungen, denn sie nimmt ihnen das Aufsetzen der Sicherheit, Management und Updates ab.

Indicators of Compromise (IoC)

SHA256
c6c5b88e5b641484c9f50f1abdbebb10e5a48db057e35cb7f556779c5684003b

Bösartige Domänen Definition
www[.]jqcdn[.]download Private Webminer Domain
www[.]datasecu[.]download Private Webminer Domain
www[.]dataservices[.]download Private Webminer Domain
www[.]jquery-cdn[.]download Private Webminer Domain
www[.]securedates[.]download Private Webminer Domain

Webinare von Trend Micro

Channel-Webinare in den nächsten Wochen

Was wäre gewesen, wenn WannaCry in Zeiten von GDPR zugeschlagen hätte?
19.04.2018 | 10:30 Uhr
Neues aus der Technik
20.04.2018 | 15:00 Uhr
Smart Protection Suite ist doch nur OfficeScan, oder?
26.04.2018 | 10:00 Uhr
Small Business ist großes Business für Hacker
03.05.2018 | 10:30 Uhr
Deep Security mit vShield for NSX – technisches Webinar
08.05.2018 | 14:00 Uhr
Hybrid Cloud Security und die DSGVO – Was ist “Stand der Technik“ in der Cloud?
15.05.2018 | 10:00 Uhr

Wir freuen uns auf Ihre Teilnahme!

Sicherheitsvorhersagen 2018:
Hier die Unterlagen aus dem Webinar zu den aktuellen Sicherheitsvorhersagen 2018. Falls Sie das Webinar verpasst haben können Sie die Präsentation und das Recording hier ansehen.

 

 

Trend Micro Büro Wien offiziell eröffnet

Am 27. März 2018 feierte Trend Micro mit Gästen aus der Kunden- und Partnerbasis die Eröffnung seines Büros in Wien. Neben einigen Präsentationen statt vor allem das gegenseitige Kennenlernen im Vordergrund. Hier unsere Adresse für einen Besuch:

Trend Micro Austria
Wienerbergstrasse 11
TwinTower B 15. Stock
1100 Wien

Ihr Trend Micro Team

Von links nach rechts:
Daniel Bühler, Technical Consultant; Daniel Schmutz, Marketing, Alliance und Strategic Partner Manager ALPS; Martin Nikowitsch, Technical Consultant; Christian Fickl, Major Account Manager; Michael Unterschweiger, Regional Director ALPS; Mathias Schneider, Regional Account Manager; Claire Horlent, Channel Account Manager ALPS; Leo Caisse, Director of Sales Operations Continental Europe; Dr. Dietmar Metzler, Customer Service Manager;

Trend Micro erneut Leader im Gartner Magic Quadrant für Endpointschutz

Trend Micro positioniert sich erneut im Leader-Segment des aktuellen 2018 Gartner Magic Quadrant for Endpoint Protection Platforms. In diesem Jahr wurden 21 Anbieter evaluiert, von denen Gartner nur drei als Leader bewertete. Trend Micro gehört dazu – und dies schon seit 20021

Mit XGen™ Security bietet Trend Micro maximalen Schutz für alle Endpunkte. Unsere generationenübergreifende Kombination aus Technologien zur Bedrohungsabwehr gewährleistet, dass immer die richtige Methode zum richtigen Zeitpunkt eingesetzt wird.
Vorteile von Trend Micro Endpunktschutz Powered by XGen™ Security:

  • Integrierte Funktionen für Erkennung und Reaktion, ohne dass hierfür separate EDR-Optionen benötigt werden. Mit Trend Micro Endpoint Sensor stehen Funktionen für Analyse und Untersuchung optional zur Verfügung.
  • Beinhaltet Virtual Patching, nach Ansicht von Gartner einer der grössten Vorteile von Trend Micro
  • Ständige Weiterentwicklung und Adaption auf Basis von mehr als 30 Jahren kontinuierlicher Innovation

Am besten überzeugen Sie sich selbst:
Lesen Sie jetzt den 2018 Gartner Magic Quadrant for Endpoint Protection Platforms (englisch).

1Gartner “Magic Quadrant for Endpoint Protection Platform,” (zuvor Magic Quadrant for Enterprise Antivirus) Gartner “Magic Quadrant for Endpoint Protection Platforms,” von Ian McShane, Avivah Litan, Eric Ouellet, Prateek Bhajanka, 24. Januar, 2018

Trend Micro goes Social @ Kick-Off

Der Januar markiert zumeist einen neuen Start für Unternehmen und jeden Einzelnen. Es ist die Zeit, Vorhaben und Herausforderungen für das Jahr zu setzen. Eines der Ziele von Trend Micro besteht in jedem Jahr auch darin, Möglichkeiten zu finden, hilfsbedürftigen Communities beizustehen. Denn wir wollen die Welt nicht nur sicherer machen, sondern auch mitfühlender. Das weltweite Meeting des Unternehmens in Vancouver bot die perfekte Gelegenheit, dort mit allen Mitarbeitern ein soziales Hilfsprojekt durchzuführen.
Weiterlesen 
Article from the Vancouver Courier

Unternehmen können von Security-as-a-Service profitieren

Originalartikel von Daniel Schmutz, Regional Marketing Manager Trend Micro ALPS aus
der „Cloud & Managed Services“ – Spezialausgabe der Netzwoche

In den letzten Jahren hat die Nachfrage nach Security-as-a-Service massiv zugenommen, sowohl aufseiten der Grossunternehmen wie auch der KMUs. Tatsächlich bieten diese Services den Nutzern zahlreiche Mehrwerte. Gleichzeitig hält der Markt eine immer grössere Bandbreite an verschiedenen Angeboten bereit, bei denen Kunden schnell den Überblick verlieren können. Unternehmen jeder Grösse können von Security-as-a-Service profitieren. Besonders für Grossunternehmen bieten sich dabei «Security-Bausteine» an, die durch Partner zu einer für den Kunden massgeschneiderten Gesamtlösung zusammengesetzt werden können. Dazu zählen unter anderem Reputationsdienste, beispielsweise für E-Mail, Web und Apps.
Security-as-a-Service im engeren Sinn richtet sich hingegen vor allem an kleine und mittlere Unternehmen. Hier kommen meist «gebrauchsfertige » Dienste zum Einsatz, die keinen Integrations-, sondern nur noch Konfigurationsaufwand erfordern. Dies können komplette Angebote im Bereich Hosted E-Mail, Secure (Cloud) Storage oder auch Absicherungen für andere Hosted- Service-Angebote wie Office 365, Dropbox oder Box sein.

Weiterlesen

CVE-2017-5689: Riskante Intel Management Engine Lücke

Originalartikel von Vít Šembera, Threat Researcher

Intel veröffentlichte kürzlich ein Security Advisory, in dem mehrere Sicherheitslücken in der Management Engine (ME) beschrieben sind. Das Advisory liefert für ME, Trusted Execution Technology (TXT) und Server Platform Services (SPS) kritische Firmware-Updates für die Versionen 8.X-11.X, die mehrere CVE IDs mit CVSS-Werten zwischen 6.7 und 8.2 abdecken. Es gibt aber eine weitere Sicherheitslücke, die vor allem für Unternehmenscomputer und
-netzwerke ein noch höheres Risiko bedeuten kann: CVE-2017-5689, eine Privilege-Escalation-Lücke.

Weiterlesen

Erpressung in einer neuen Dimension

Kommentar von Richard Werner, Business Consultant, via blog.trendmicro.de

Die Diskussion über Datensicherheit im Zusammenhang mit der Datenschutz Grundverordnung wird in Deutschland, Österreich und anderen Teilen der Welt gerade mit viel Verve geführt, da überrascht Bloomberg mit einer Nachricht: Offensichtlich hat die Firma Uber Technologies Hacker dafür bezahlt, die von ihnen gestohlenen Daten personenbezogener Art nicht zu veröffentlichen. Das Unternehmen selbst bestätigt, dass etwa 50 Millionen Uber-Nutzerkonten weltweit vom Diebstahl betroffen und dass es sich bei den „verlorenen“ Daten um solche wie Namen, Adressen und E-Mailadressen handelt. Ebenfalls immer noch typische Abwiegelung eines betroffenen Unternehmens: Keine Social Security-Nummern, Kreditkarteninformationen oder Standortdaten wurden gestohlen. Ist der Vorfall dann also harmlos?

In den USA bricht gerade ein Sturm der Entrüstung über Uber herein, weil die Verantwortlichen lieber 100’000 $ an Kriminelle zahlten, als ihrer gesetzlichen Verpflichtung nachzukommen und die Betroffenen zu informieren.

Weiterlesen