Schlagwort-Archive: Trojaner

Node.js-Trojaner verbreitet sich mithilfe von Covid-19-Köder

Die Sicherheitsforscher von Trend Micro stiessen kürzlich auf einen von MalwareHunterTeam entdeckten Java Downloader, der offenbar in einer Phishing-Kampagne im Zusammenhang mit COVID-19 verbreitet wurde. Bei Ausführung der Datei wird eine neue, unbekannte Malware heruntergeladen, die in Node.js verfasst ist. Der Trojaner wurde „QNodeService“ benannt. Der Einsatz der Plattform Node.js ist ungewöhnlich für Autoren von Commodity-Schädlingen, denn sie ist in erster Linie für die Entwicklung von Webservern gedacht und somit potenziellen Opfermaschinen nicht vorinstalliert. Doch könnte gerade die Wahl dieser ungewöhnlichen Plattform dazu beigetragen haben, dass die Malware von Antivirus-Software nicht erkannt wurde.

Die Malware beinhaltet Funktionen für den Download/Upload sowie die Ausführung von Dateien, den Diebstahl von Login-Informationen aus Chrome sowie Firefox Browsern. Sie ist in der Lage, unter anderem Dateimanagement durchzuführen und zielt auf Windows-Systeme, wobei bestimmte Code-Teile darauf schließen lassen, dass sie künftig auch plattformübergreifend agieren wird. Die technischen Einzelheiten zum Angriffsablauf, dem Verhalten der Malware sowie Indicators of Compromise bietet der Originaleintrag.

Empfehlungen

Bedrohungsakteure entwickeln ständig neuartige Methoden, um dafür zu sorgen, dass ihre Malware so lange wie möglich viele Systeme betrifft, z. B. durch die Verwendung von Umgebungen, die weniger für die Erstellung von Malware genutzt werden, durch die Aufrechterhaltung der Persistenz und durch plattformübergreifende Kompatibilität. Um sich gegen solche Malware zu schützen, können Benutzer etwa mit folgenden Sicherheitslösungen verhindern, dass sie durch mögliche Eintrittspunkte wie Email, Endpunkte und Netzwerk angegriffen werden:

  • Für Email bietet Trend Micro™ Email Security KI-gestützte Erkennung und Sandboxing-Fähigkeiten, um sowohl Malware als auch bösartige URLs zu blocken.
  • Für Endpunkte liefert Trend Micro Apex One Möglichkeiten zur automatisierten Bedrohungserkennung mit Hilfe von ML sowohl vor als auch während der Ausführung.
  • Für Netzwerke unterstützt Trend Micro TippingPoint Threat Protection System die Sicherheit durch die Inspektion und das Blocken von Netzwerkverkehr in Echtzeit, um das Eindringen von Bedrohungen zu verhindern.

Symptome erkennen: Schutz für Geräte Netzwerke im Home Office

von Trend Micro

Manche Unternehmen hat der plötzliche Wechsel der Mitarbeiter zur Arbeit im Home Office unvorbereitet getroffen. Und die Folge davon sind nicht gesicherte Systeme, die im Unternehmen laufen, oder angreifbare Hardware in den Umgebungen der Mitarbeiter zu Hause. Cyberkriminelle versuchen, aus dieser Situation Profit zu schlagen. Doch Anwender und Unternehmen können sich dagegen schützen, wenn sie die Symptome eines Angriffs erkennen und Best Practices beachten.

Trend Micro stellt im Vergleich zu Dezember 2019 einen signifikanten Anstieg bei Angriffen auf Remote-Systeme und vernetzte Geräte fest.

Bild 1. Eingehende Infektionen und Angriffsversuche auf Geräte von Dezember 2019 bis März 2020, Daten aus dem  Smart Home Network (SHN) von Trend Micro

Cyberkriminelle bedienten sich bekannter Techniken und griffen über die üblichen Eintrittspunkte an, um in die Heimnetzwerke und Geräte der Benutzer einzudringen. Die Akteure weiteten ihre Aktivitäten mit den bekannten Taktiken und Methoden merklich aus, vom Ausnutzen der häufig noch vorhandenen Standardpasswörter, bis zum wiederholten Missbrauch ungepatchter Schwachstellen und den Scans nach offenen Ports und Diensten sowie der Installation von Backdoors.

Bild 2. Vergleich der wichtigsten Methoden für das Eindringen in Systeme, Dezember 2019 bis März 2020

Mit Fortschreiten der Pandemie und der steigenden Zahl von Mitarbeitern, die Home-Netzwerke für ihre Arbeit nutzten, nahmen auch die bösartigen Routinen zu, die auf Nutzer abzielten, und diese mit Coronavirus-bezogenen Nachrichten köderten. Und auch wenn nicht alle Einbrüche, bösartigen Routinen und Angriffe erkennbare Anzeichen aufweisen, gibt es verräterische Symptome, die von nicht-technischen Mitarbeitern überprüft werden können, um festzustellen, ob ihre Geräte gehackt oder mit Malware infiziert wurden. Einige bösartige Routinen weisen keine offensichtlichen Anzeichen einer Infektion oder eines Eindringens auf, und einige Symptome werden erst nach bestimmten Benutzeraktionen sichtbar.

Details, wie Sie Ihre Geräte schützen können, finden Sie in unserer Infografik. Bitte klicken zum Vergrößern

Wie können Geräte kompromittiert werden?

Cyberkriminelle ändern oder verbessern ständig ihre Techniken, um eine steigende Zahl von mobilen und intelligenten Geräten infizieren und angreifen zu können. Deshalb sollten Nutzer die folgenden Taktiken kennen und bestimmte Aktionen vermeiden:

  • Herunterladen von Apps, Software und/oder Medien aus Drittanbieter-Marktplätzen oder -Websites. Diese Apps könnten bösartige Komponenten enthalten, sich als bekannte Apps ausgeben oder Funktionen beinhalten, die nichts mit ihrem angeblichen Zweck zu tun haben.
  • Internetverbindungen über öffentliche WLAN-Netzwerke. Bedrohungsakteure können sich in diese Netzwerke dazuschalten und Informationen daraus stehlen. Auch könnten die verfügbaren Verbindungen gefälschte Hotspots sein, die Daten von den damit verbundenen Geräten kapern.
  • Anklicken von Phishing- und/oder SMShing-Links. Bedrohungsakteure verwenden in Emails oder Textnachrichten eingebettete bösartige URLs, um Gerätezugriff zu erlangen, Bank- oder persönliche Daten zu stehlen oder Malware zu verbreiten.
  • Zugriff auf bösartige und/oder infizierte Websites oder Apps. Bösartige Websites können dazu verwendet werden, Geräte zu infizieren, die absichtlich oder unabsichtlich auf diese Seiten zugreifen. Cyberkriminelle können Malware und weitere bösartige Befehle einschleusen oder eine Schicht über die legitime Seite legen, die sich als legitime Seiten ausgibt, um Besucher umzuleiten oder zu infizieren.
  • Jailbreaking. Dieses Vorgehen beinhaltet die absichtliche Aufhebung von Software- und Telekommunikationsbeschränkungen, um die eingebetteten exklusiven Funktionen des Geräts außer Kraft zu setzen, und bietet somit Ansatzpunkte, die böswillige Akteure ausnutzen können, wenn der Benutzer ins Internet geht.
  • Ungepatchte System- und/oder Medienschwachstellen. Sicherheitslücken im Betriebssystem, in der Hardware und in Anwendungen können Türen öffnen, die von Cyberkriminellen missbraucht werden.
  • Einsetzen von standardmäßigen Zugangsdaten. Standard-Benutzernamen und -Passwörter in Routern und Geräten, die von Herstellern und Netzwerk Service Providern vergeben werden, sind in der Regel für alle ihre Abonnenten ähnlich oder gleich. Cyberkriminelle können auf eine gemeinsame Liste zurückgreifen, um bei Angriffen auf diese Geräte zuzugreifen.
  • Gezielte Angriffe. Hochrangige Personen in bestimmten Branchen sind begehrte Ziele. Ihre jeweiligen Geräte können dazu verwendet werden, ihre Bewegungen zu verfolgen und an hochwertige Kontakte sowie vertrauliche Informationen heranzukommen.

Die praktisch über Nacht eingerichteten Remote-Arbeitsumgebungen könnten die derzeitige Infrastruktur überfordern, aber jedes Unternehmen sollte sie als die neue Norm betrachten. Diese neuen Business-Continuity-Verfahren haben zu einer verstärkten Nutzung von persönlichen Arbeitsgeräten geführt, die mit Heimnetzwerken verbunden sind, und dies führt unter Umständen zu Problemen mit den möglicherweise geringeren Sicherheitsmaßnahmen zu Hause im Vergleich zum Arbeitsplatz. Daher müssen vorläufige Lösungen, die sich auf die Leistungserbringung konzentrieren, in langfristige und nachhaltige Geschäftslösungen geändert werden. Mehr denn je müssen die Benutzer den Datenzugriff zwischen ihrem Zuhause und dem Büro sichern.

Trend Micro überwacht auch weiterhin alle Angriffe und bösartigen Routinen bezüglich COVID-19, die Unternehmen oder Geräte kompromittieren können. Empfehlenswert ist auch ein vielschichtiger Schutz für alle Fronten, der Nutzer zudem daran hindert auf bösartige Domänen zuzugreifen. Die Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können Malware und bösartige Domänen erkennen und blocken.

Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der Schutz wird ständig aktualisiert, um das System sowohl vor alten als auch neuen Angriffen schützen zu können. Trend Micro™ InterScan™ Messaging Security bietet umfassenden Schutz, der ankommende Bedrohungen und nach außen gehende Daten stoppt, sowie Spam und andere Email-Bedrohungen blockiert.

Nutzer können auch den umfassenden Schutz von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security nutzen. Diese Systeme bieten einen effizienten Schutz vor Bedrohungen für IoT-Geräte, indem sie Malware an den Endpunkten erkennen. Schließlich lassen sich vernetzte Geräte über Sicherheitssoftware schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internetverkehr zwischen dem Router und allen damit verbundenen Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle überwachen und Unternehmen vor gezielten Angriffen schützen.

Weitere Informationen und Empfehlungen zum Corona-bedingten Arbeiten von zu Hause finden Sie hier.

Aktualisierung: Coronavirus in bösartigen Kampagnen

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Neue Kampagnen mit Ransomware, betrügerischen Apps sowie Websites mit Fake-Versprechungen.

Update 26. März

Apps

In einer neuen Kampagne verbreiten Cyberkriminelle eine „Informations-App“ zu COVID-19, die angeblich von der Weltgesundheitsorganisation (WHO) stammt. Bleeping Computer berichtet, dass im Rahmen des Angriffs die Domain Name System (DNS)-Einstellungen in D-Link- oder Linksys-Routern gehackt werden, um Browser Alerts von besagter App darstellen zu lassen. Nutzer berichteten, dass sich ihre Browser ohne Interaktion automatisch öffneten und sie in einer Nachricht aufforderten, einen Button anzuklicken, um eine „COVID-19 Inform App“ herunterzuladen. Stattdessen wird der Oski Info Stealer auf das Gerät geladen. Diese Schädlingsvariante kann Browser Cookies, den Verlauf, Bezahlinformationen, gespeicherte Anmeldedaten, Kryptowährungs-Wallets und andere Daten stehlen.

Netwalker Ransomware

Eine neue Phishing-Kampagne verbreitet laut MalwareHunterTeam die Netwalker Ransomware, schreibt Bleeping Computer. Ein Anhang namens CORONAVIRUS.COVID-19.vbs enthält ein eingebettetes Ransomware Executable. Von den Opfern wird ein Lösegeld verlangt, das über eine Tor-Bezahlseite zu entrichten ist.

Sextortion-Betrug

Über eine neue Sextortion-Masche berichtet Sophos. Die Opfer werden per Email darüber informiert, dass der Angreifer alle Passwörter kennt und weitere Details zu dessen persönlichen Aktivitäten. Sollte sich der Betroffene weigern, die verlangten 4.000 $ in Bitcoin innerhalb von 24 Stunden zu zahlen, drohen die Cyberkriminellen, die Familie des Betroffenen mit dem Coronavirus zu infizieren. Es gibt keine Hinweise, ob der Angreifer tatsächlich Zugang zu den Daten hat.

Betrügerische Websites

Sicherheitsforscher fanden zwei Websites, (antivirus-covid19[.]site und corona-antivirus[.]com), die eine App anbieten, die angeblich vor Corona schützen kann. Erstere ist bereits nicht mehr zugänglich, die zweite schon. Die App „Corona Antivirus“ auf den Websites soll das Ergebnis der Forschung von Wissenschaftlern der Harvard Universität sein. Wer die App installiert, infiziert das eigene System mit BlackNET RAT Malware, die dann das System einem Botnet hinzufügt. Über das Botnet können die Hintermänner DDoS-Angriffe starten, Dateien auf das Gerät laden, Skripts ausführen, Screenshots erstellen, Tastaturanschläge aufnehmen, Bitcoin-Wallets stehlen und Browser Cookies sowie Passwörter sammeln.

Schließlich hat Das US-Justizministerium (DOJ) eine einstweilige Verfügung gegen die betrügerische Website coronavirusmedicalkit[.]com eingereicht. Die Website verkauft angeblich von der WHO zugelassene COVID-19-Impfstoffkits. Es sind jedoch noch keine solchen legitimen Coronavirus-Impfstoffe auf dem Markt erhältlich. Die Website verlangt 4,95 $ für die Lieferung. Dafür sollen Nutzer ihre Kreditkartendaten angeben. Die Website ist ebenfalls nicht mehr erreichbar.

Update 20. März:

Italien, eines der vom Virus am schlimmsten betroffenen Länder, wird auch von den Cyberkriminellen nicht verschont. Innerhalb der EMEA-Region steht das Land mit 11.000 Spam- und Malware-Vorfällen auf Platz drei. Die Sicherheitsforscher von Trend Micro entdeckten mehr als 6.000 Spam-Vorfälle in einer neuen Kampagne. Sowohl der Betreff („wichtige Infos zur Coronavirus-Vorsorge“) als auch die Nachricht selbst sind auf Italienisch verfasst. Der Absender verspricht ein Dokument im Anhang, das angeblich von der World Health Organization (WHO) kommt und heruntergeladen werden soll. Das bösartige Dokument enthält einen Trojaner. Die Indicators of Compromise beinhaltet der Originalbeitrag.

Update 16. März

Trend Micro entdeckte eine Email Spam-Kampagne, die chinesische und italienische Anwender zum Ziel hat. Die Erwähnung von Coronavirus im Betreff der chinesischen Variante soll potenzielle Opfer dazu bringen, einen bösartigen Anhang herunterzuladen. Weitere Untersuchungen ergaben, dass die genutzte Payload HawkEye Reborn ist, eine neuere Variante des Information Stealers HawkEye. Die Datei ist ein stark verschleiertes AutoIT-Skript, das zu einer ausführbaren Datei kompiliert wurde.

Im Fall des italienischen Spams wurde der Name der Infektion nicht im Betreff erwähnt sondern befand sich in der URL. Der Betreff bezog sich auf Rechnungen, und der Anhang enthielt Malware, die über die Ausführung eines PowerShell-Befehls eine Datei von einer COVID-19 bezogenen URL herunterlud.

Business Email Compromise (BEC)

Ein Business Email Compromise (BEC)-Angriff, der Coronavirus erwähnt, wurde von Agari Cyber Intelligence Division (ACID) gemeldet. Dahinter steckte Ancient Tortoise, eine cyberkriminelle Gruppe, die bereits von früheren BEC-Vorfällen bekannt ist. Sie kontaktieren zuerst die Buchhaltung eines Unternehmens und fordern eine Liste mit ausstehenden Zahlungen an, um dann die entsprechenden Kunden anzugehen und diese über Änderungen bei Bankverbindung und Zahlungsmethode aufgrund der Coronakrise zu „informieren“.

Malware

Eine interaktive Coronavirus-Karte wurde eingesetzt, um einen Information Stealer zu verbreiten, berichtete Brian Krebs. Die Karte, die die Johns Hopkins Universität erstellt hatte, ist ein interaktives Dashboard, das die Verbreitung des Coronavirus und die davon verursachten Todesfälle in der Welt anzeigt. Dies nutzten russische Mitglieder von Untergrundforen aus, um digitale Corona-Infektions-Kits zu verkaufen, die eine Java-basierte Malware installieren.

Ransomware

Eine neue Ransomware-Variante namens CoronaVirus wurde über eine gefälschte Wise Cleaner-Site verbreitet, die vorgeblich Systemoptimierung anbot, so das MalwareHunterTeam. Opfer luden dabei unwissentlich die Datei WSGSetup.exe von der Site herunter. Besagte Datei dient als Downloader für zwei Arten von Malware: die CoronaVirus Ransomware und ein Trojaner namens Kpot, der Passwörter stiehlt. Diese Kampagne folgt dem Trend, nicht allein Daten zu verschlüsseln, sondern auch Informationen zu stehlen.

Eine mobile Ransomware namens CovidLock kommt über eine bösartige Android App, die vorgeblich dabei hilft, COVID-19-Infizierte auszumachen. Die Ransomware sperrt die Smartphones ihrer Opfer und verlangt innerhalb von 48 Stunden ein Lösegeld von 100 $ in Bitcoin. Die Hintermänner drohen auch mit dem Löschen der Daten auf dem Telefon und der Veröffentlichung von Social-Media-Kontoinformationen.

Coronavirus-bezogene Angriffe in den verschiedenen Regionen der Welt

Trend Micro-Forscher haben die Coronavirus-bezogene Malware und die Spam-Angriffe im ersten Quartal 2020 (von Januar bis heute) auf Anwender weltweit analysiert und sie nach Regionen bewertet – Asia Pacific Region (APAC), Lateinamerika (LAR), Nordamerika (NABU) und Europa, Mittlerer Osten & Afrika Region (EMEA).

Die Daten stammen aus dem Smart Protection Network und wurden auf Basis heuristischer Muster zusammengestellt. Die Anzahl des Spam entspricht den Spam-Mails mit dem Wort „coronavirus” im Betreff. Die Zählung der Malware besteht hauptsächlich aus den mitgelieferten Malware-Dateien.

Bild 1. Weltweite Coronavirus-bezogene Malware- und Spam-Angriffe in Q1 2020

Die Grafik zeigt, dass bei den Anwendern in der EMEA-Region mit etwa 130.000 jeweils für Malware und Spam die meisten Angriffe zu verzeichnen waren. Es zeigt sich, dass in der EMEA-Region auf die Anwender in Großbritannien etwa ein Drittel aller Malware- und Spam-Angriffe (jeweils 41.000) der Region entfielen, gefolgt von Frankreich mit fast 24.000 Malware- und ca. 23.000 Spam-Angriffen.

Spam

Trend Micro-Sicherheitsforscher haben weltweite Samples gesammelt und festgestellt, dass viele Emails vorgeben, von offiziellen Organisationen zu kommen und Neuigkeiten sowie Empfehlungen bezüglich der Infektion zu enthalten. Wie die meisten anderen Spam-Angriffe auch umfassen sie einen bösartigen Anhang, so auch das folgende Beispiel mit dem Betreff „Corona Virus Latest Updates“ und dem US-Gesundheitsministerium als vermeintlicher Absender. Natürlich enthält der Anhang Malware.

Bild 2. COVID-19-bezogene Spam-Email

Viele der Spam-Mails beziehen sich auf Liefervorgänge, die sich angeblich wegen der Infektionen verschieben oder ein neues Auslieferungsdatum enthalten. Im folgenden Beispiel etwa soll der Anhang Einzelheiten über ein späteres Lieferdatum enthalten. Die Email gibt vor, aus Japan zu kommen und umfasst auch Details in Japanisch (im Screenshot unkenntlich gemacht)

Bild 3. COVID-19 -bezogene Spam-Email mit dem Thema verspäteter Liefertermin

Andere Spam-Mails waren in Italienisch oder Portugiesisch verfasst.

Malware-Dateien

Trend Micro fand auch Schadsoftware mit „corona virus“ im Dateinamen. Eine entsprechende Liste umfasst der Originalbeitrag.

Andere Sicherheitsforscher fanden Coronavirus-Landkarten und -Dashboards, die von Cyberkriminellen missbraucht werden. Forscher von Reason Labs fanden gefälschte Websites, die zum Herunterladen und Installieren von Malware führen. Eine Liste der heruntergeladenen Malware finden Sie im Originalbeitrag.

Domänen

Ebenso nutzen Domänennamen häufiger das Wort „corona“. Eine Liste umfasst der Originalbeitrag.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Trickbot-Trojaner verbreitet sich als DLL und richtet sich auf Windows 10 aus

Originalbeitrag von Trend Micro

Verschiedenen Kampagnen machen deutlich, wie die Hintermänner des Banking-Trojaners Trickbot die Ausführungs- und Verschleierungstechniken des Schädlings weiterentwickelt haben. Zum einen kann der Trojaner jetzt als Dynamic Link Library (DLL)-Dateien verbreitet werden, zum anderen besitzt er derzeit Fähigkeiten, die exklusiv auf Windows 10 ausgerichtet sind.

Trickbot via DLL verbreiten

Statt wie bislang üblich eine EXE.-Datei als Loader zu nutzen, verwendet die neue Trickbot-Variante DLL-Dateien. Der Schädling wird von einem Word-Dokument abgelegt, das vermutlich über bösartige Anhänge in Spam-Mails verbreitet wird. Technische Einzelheiten beinhaltet der Originalbeitrag.

Trickbot wurde im August 2016 entdeckt. Der Banking-Trojaner stiehlt Email-Zugangsdaten von infizierten Computern. Die kompromittierten Mail-Konten nutzt er dann für die Verbreitung von bösartigen Mails. Die Hintermänner des Schädlings haben diesen mit immer neuen Fähigkeiten ausgestattet, wie etwa zum Vermeiden von Erkennung und Bildschirmsperren, sowie für das Remote Abgreifen von Anwendungs-Credentials. Auch zielte Trickbot bereits früher auf OpenSSH und OpenVPN oder wurde über verborgene JavaScript-Dateien verbreitet.

Ausschließlich auf Windows 10 ausgerichtete Fähigkeiten

Zu den exklusiv auf Windows 10 zugeschnittenen Funktionen gehören solche, die eine Erkennung in Sandboxen, die frühere Windows-Versionen nachahmen, verhindern. Technische Einzelheiten liefert der Originalbeitrag.

Schutz vor Trickbot

Angesichts von mehr als 250 Mio. kompromittierten Email-Konten müssen Unternehmen und Anwender die permanente Weiterentwicklung dieses Schädlings im Auge behalten. Als Schutzmaßnahme gegen den Trojaner sollten Unternehmen interne Schulungen zu den Möglichkeiten der Minderung der Gefahr durch Email-Bedrohungen durchführen. Mitarbeiter müssen lernen, bösartige Email zu erkennen. Es muss ihnen klar werden, dass sie keine Anhänge herunterladen dürfen oder Links aus unbekannten Quellen anklicken.

Sicherheitslösungen wie Trend Micro Email Security erkennen und stoppen Spam, bevor er Schaden anrichten kann. Trend Micro Smart Protection Suites beruht XGen™ Security und kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern.

Eine Auflistung der Indicators of Compromise finden Sie im Originalbeitrag.

Zusätzliche Analysen von Angelo Deveraturda

2019 blockiert Trend Micro 52 Milliarden Bedrohungen: Hacker erweitern ihr Repertoire

von Trend Micro

Abwechslung ist in den meisten Lebensbereichen willkommen, doch nicht in der Bedrohungslandschaft. Leider müssen sich Sicherheitsexperten heutzutage aber genau damit auseinandersetzen. Der Jahresbericht 2019 von Trend Micro zeigt, dass Hackern mittlerweile eine beispiellose Vielfalt an Tools, Techniken und Verfahren zur Verfügung steht. Bei 52 Milliarden einzigartigen Bedrohungen, die allein von den Trend Micro-Filtern erkannt wurden, könnte dies zu einer übermächtigen Herausforderung für viele IT-Sicherheitsabteilungen werden. Als Reaktion darauf überprüfen zu Recht viele CISOs ihren Ansatz für die Bedrohungsabwehr. Bei vielen von ihnen setzt sich die Erkenntnis durch, dass es sinnvoller ist, sich auf einen Anbieter zu konzentrieren, der den gesamten Schutz liefern kann, statt durch Investitionen in Best-of-Breed-Lösungen unter Umständen Sicherheitslücken zu schaffen und Budgetengpässe zu riskieren.

Zustandsaufnahme

Der Bericht liefert ein alarmierendes Bild einer von Volatilität und Chaos geprägten Bedrohungslandschaft. Finanziell motivierte Cyberkriminelle kooperieren und konkurrieren miteinander, um aus Attacken Profit zu schlagen. Leider gibt es eine Menge Betroffener, denn aufgrund gestiegener Investitionen in Cloud- und digitale Plattformen hat sich die Angriffsfläche im Unternehmen erheblich vergrößert.

Der Bericht hebt vor allem drei Trends hervor:

Ransomware ist auf dem Vormarsch: Obzwar die Anzahl der neuen Familien zurückgegangen ist,  ist die Zahl der entdeckten Ransomware-Komponenten im Laufe der Jahres um 10% auf 61 Millionen gestiegen. Im letzten Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Eine aktuelle Umfrage des TÜV-Verbands zeigte, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Dabei spielte der Bankentrojaner Emotet häufig eine unrühmliche Rolle.

Phishing entwickelt sich weiterWie immer entfielen die meisten Bedrohungen (91%), die Trend Micro im vergangenen Jahr blockierte, auf Email-Angriffe, und ab 2018 stieg das Volumen um 15%. Das bedeutet, dass Phishing nach wie vor der Hauptvektor bei Angriffen auf Unternehmen ist. Obwohl insgesamt ein Rückgang der Gesamtzahl der Versuche, Phishing-Websites zu besuchen, zu verzeichnen war, gab es einige Spitzenwerte. Betrüger scheinen Office 365 im Visier zu haben und versuchen, Sicherheitsfilter zu umgehen. Die Zahl der eindeutigen Phishing-URLs, die die Microsoft-Cloud-Plattform fälschten, ist im Vergleich zum Vorjahr um 100% gestiegen. Die BEC-Angriffe, die nach Angaben des FBI im vergangenen Jahr höhere Kosten als jede andere Art von Cyberkriminalität verursachten, nahmen um 5% zu.

Die Supply Chain ist in Gefahr: Die digitale Supply Chain hat sich in den letzten Jahren rapide erweitert und setzt damit mehr Unternehmen einem Risiko aus. Besonders deutlich wurde dies im Bereich des elektronischen Handels im vergangenen Jahr, als es der Magecart Hacking-Gruppe gelang, schätzungsweise zwei Millionen Websites zu kompromittieren. Viele dieser Attacken konzentrierten sich auf Partner der Supply Chain. Auch beobachteten die Sicherheitsforscher einen Anstieg bei Angriffen, die sich auf die Kompromittierung von DevOps-Tools und -Deployments konzentrieren, wie z.B. fehlkonfigurierte Versionen der Docker Engine und ungesicherte Docker-Hosts.

Fazit

Dies ist aber nur die Spitze des Eisbergs. Die Forscher von Trend Micro stellten auch einen Anstieg bei mobiler Malware (6%), IoT-Anmeldungen über Brute-Force (189%) und vieles mehr fest. Um angesichts einer so breit gefächerten Palette von Bedrohungen die Kontrolle zu behalten, sollten CISOs den Ansatz der „Connected Threat Defense“ in Erwägung ziehen. Diese Strategie konsolidiert den Schutz über Gateways, Netzwerke, Server und Endpunkte hinweg auf einen einzigen Anbieter, der die Verteidigung auf jeder Ebene mit einem Fundament aus intelligentem Bedrohungswissen optimiert.

Die folgende Checkliste ist eine Überlegung wert:

  • Netzwerksegmentierung, regelmäßige Backups und kontinuierliche Netzwerküberwachung zur Bekämpfung von Ransomware,
  • Verbesserte Programme für das Sicherheitsverständnis, hilft Nutzern BEC- und Phishing-Versuche besser zu erkennen,
  • Monitoring von Schwachstellen und falschen Konfigurationen der Systeme der Supply Chain-Partner als Schutz vor Magecart-Angriffen,
  • Scannen von Container Images auf Malware und Sicherheitslücken während Build und Laufzeit,
  • Systeme und Software immer auf aktuellem Stand halten sowie
  • Richtlinien für Zweifaktor-Authentifizierung und dem Prinzip der geringsten Privilegien verhindern den Missbrauch von Tools, die über Admin-Logins zugänglich sind, etwa RDP und Entwickler-Tools.

Der gesamte 2019-Sicherheitsbericht steht online zur Verfügung.

LokiBot gibt sich als bekannter Game Launcher aus

Originalbeitrag von Augusto Remillano II, Mohammed Malubay und Arvin Roi Macaraeg, Threat Analysts

Der Trojaner LokiBot, der vertrauliche Daten wie Passwörter und auch Kryptowährungsinformationen stehlen kann, wird von seinen Hintermännern offenbar weiter entwickelt. Bereits in der Vergangenheit gab es eine Kampagne, die eine Remote Code-Execution-Schwachstelle missbrauchte, um LokiBot über den Windows Installer-Service zu verbreiten. Dabei ging es um eine Lokibot-Variante, die ISO Images einsetzt, sowie eine mit verbessertem Persistenz-Mechanismus via Steganographie. Nun entdeckten die Sicherheitsforscher von Trend Micro, dass LokiBot (Trojan.Win32.LOKI) sich als ein beliebter Game Launcher tarnt, um Nutzer zu überlisten, den Schädling auf ihren Maschinen auszuführen. Die Analyse eines Samples dieser Variante zeigte, dass sie eine seltsame Installationsroutine einsetzt, die eine compilierte C#-Codedatei ablegt. Diese ungewöhnliche Variante mit einer „Compile after Delivery“-Technik zur Vermeidung seiner Entdeckung wurde mithilfe der maschinellen Lernfähigkeiten in den Trend Micro-Lösungen proaktiv erkannt und geblockt.

Die Infektion startet mit einer Datei, die vorgibt, der Installer im Epic Games-Store (Entwicklungsfirma von Spielen wie Fortnite) zu sein. Am Ende der Infektionskette wird die LokiBot-Payload ausgeführt. Wie die meisten aktiven Infostealer zeigen die Weiterentwicklungen bei den Installations- und Verschleierungsmechanismen, dass LokiBot seine Aktivitäten nicht so bald einstellen wird. Technische Einzelheiten des Angriffs sowie die Indicators of Compromise umfasst der Originalbeitrag.

Trend Micro-Lösungen

Trend Micro™ Deep Discovery™ bietet Erkennung, tiefgehende Analyse und proaktive Reaktionen auf Angriffe mit Exploits und ähnlichen Bedrohungen. Dafür setzt die Lösung spezielle Engines, nutzerkonfiguriertes Sandboxing und eine nahtlose Korrelation-über den gesamten Lebenszyklus des Angriffs ein. Unterstützt wird sie durch Trend Micro XGen™ Security mit einer generationsübergreifenden Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Von Banking-Trojaner zu Ransomware: erfolgreiche Angriffskaskade

In diesem Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Viele dieser Organisationen setzen keine Cloud-Umgebungen ein und verlassen sich auf Perimeter-Schutz für ihre Inhouse-Datacenter. Eine aktuelle Umfrage des TÜV-Verbands ergab, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Viele große Unternehmen haben das Risiko erkannt und ihre Systeme gesichert. Doch die kleinen und mittelständischen Firmen wie auch öffentliche Einrichtungen (Krankenhäuser etwa) sind am meisten gefährdet. Opfer von Ransomware-Angriffen wurden beispielsweise das Württembergische Staatstheater und die Messe in Stuttgart.

Auch der Bankentrojaner Emotet schlug immer wieder zu, so im Netzwerk der Stadtverwaltung Neustadt am Rübenberge, und das Netz der Heise Gruppe war ebenfalls Ziel des Trojaners. Emotet gerät seit seiner Entdeckung 2014 durch Trend Micro immer wieder in die Schlagzeilen, weil er als einer der „zerstörerischsten“ gilt und permanent weiter entwickelt wird. In nur fünf Jahren schaffte es die Schadsoftware, sich zu einer der berüchtigtsten Cyberbedrohungen zu entwickeln – eine, deren Angriffe Kosten von bis zu 1 Mio. $ für die Wiederherstellung verursachen, so das US-CERT.

Der Erfolg der Gruppe hinter Emotet in ihren Angriffen auf mittelständische Unternehmen liegt zum einen daran, dass laut Expertenmeinung die cyberkriminelle Gruppe mindestens zehn Jahre Erfahrung mit Banking-Malware und Info-Stealern hat, und zum anderen waren ihre Angriffe speziell auf mittelständische Unternehmen zugeschnitten. Dafür setzten sie solide Techniken ein. Die Cyberkriminellen nutzen die gestohlenen Zugangsdaten für weitere Angriffe, verkaufen sie im Untergrund oder setzen auf Ransomware. Nicht jedes Unternehmen oder jede Behörde ist trotz der Verschlüsselung von kritischen Systeme bereit, das geforderte Lösegeld zu zahlen. Zu diesem Vorgehen ist auch dringend zu raten! Auch wenn die Opfer auf die Forderungen eingehen, so ist das noch keine Garantie dafür, dass sie ihre Daten wiederbekommen. Und solange die Kriminellen mit ihrer Erpressung erfolgreich sind, werden sie weitermachen.

Das Angriffsschema wird durch die Implementierung von Trickbot erweitert. Dahinter steht möglicherweise eine zweite Gruppe, die dann übernimmt, oder möglicherweise einfach nur eine andere Abteilung derselben cyberkriminellen Unternehmung ist bzw. zumindest eng damit kollaboriert. Trickbot wird von Emotet nachgeladen und verursacht die eigentlichen Schäden. Trickbot ist ein Info Stealer, sodass die Kriminellen wahrscheinlich Credentials abgreifen und diese zu Geld machen. Auch hier gilt, dass die Hintermänner eine mindestens zehnjährige Karriere aufweisen und ihre Erfahrungen aus früheren Schadsoftware-Kreationen wie Dridex / Fridex / Dyreza einfließen lassen, so die Experten.

Die Trickbot-Kriminellen wiederum arbeiten mit einer Gruppe zusammen, die RYUK (Post-intrusion Ransomware) einsetzt. Diese Gruppe wird dann benachrichtigt, wenn erstere Gruppe die Art von Zielen findet (mittelständische Unternehmen mit flachen Netzwerken), die für RYUK möglicherweise leichte Beute ist. Sie verkaufen den Zugang an RYUK, die dann einige Wochen über laterale Bewegungen im Netzwerk dies auskundschaftet, bis alle Schwachpunkte gefunden sind, Backups entfernt und Sicherheitsmaßnahmen außer Kraft gesetzt wurden und die Kriminellen Kenntnis darüber erlangt haben, wieviel das Unternehmen zahlen kann. Dann erst setzen sie ihre Ransomware zugleich in allen kritischen Services ein – manchmal sogar mit einem zeitgleichen anderen Angriff, um InfoSec abzulenken. Unternehmen stehen dann unter Umständen ohne Backups da, mit kritischen Systemen, die außer Funktion sind, und haben keine andere Wahl, als eine erkleckliche Lösegeldsumme zu zahlen, um den Betrieb — wenn alles gut läuft – wieder aufnehmen zu können. Die drei Gruppen (oder vielleicht eine einzige) wiederholen einfach dieses unglaublich erfolgreiche Angriffsmodell wieder und wieder.

Fazit

Und wenn sich herausstellt, dass ein Angriffsmodell so gut funktioniert, übernehmen natürlich auch andere Gruppen die Angriffsabfolge mit unterschiedlicher Malware wie etwa Lockergoga oder Bitpaymer.

Da Emotet(artige) Angriffe insbesondere auch Email-Daten abgreifen, müssen sich Unternehmen auch mit dem Thema Business Email Compromise (BEC) beschäftigen. Bei der so genannten „Chef-Masche“ geht es um einen Angriff, bei dem sich der Kriminelle als Führungskraft des Opferunternehmens ausgibt und den Mail-Empfänger anweist, eine Finanztransaktion durchzuführen. Zugangsdaten, die sich für BEC eignen, sind vermutlich für Emotet-Akteure für den Weiterverkauf interessant.

Des Weiteren sollten Organisationen auch genauestens analysieren, ob und wenn ja in welchem Maße, Risiken für die eigenen Kunden entstehen. In diesem Zusammenhang ist es wichtig  beispielsweise zu prüfen, ob per Fernwartung Zugang zu anderen Netzen, etc. besteht. All diese Prozesse/Fähigkeiten könnten von Angreifern ausgenutzt werden.

Das Bundesamt für Sicherheit in der Informationstechnik hat einen ausführlichen Ratgeber mit  Maßnahmen zum Schutz vor Emotet und gefährlichen Email-Angriffen allgemein veröffentlicht.

Trend Micro-Lösungen

Da Emotet eine dateilose Bedrohung ist, sind alle Schutzmechanismen, die auf Dateierkennung basieren, als Verteidigung ungeeignet. Zu diesen zählen beispielsweise Pattern (Black- und Whitelist) sowie bestimmte Arten des maschinellem Lernens und auch Sandbox-Verfahren, die nicht so konfiguriert sind wie die Unternehmenssysteme, also z.B. mit und ohne installierter Powershell.

Moderne Sicherheitstools wie Trend Micro ApexOne verwenden deshalb verschiedenste Verfahren um auch mit dieser Art von Problemen umzugehen. So kann beispielsweise der Scanner verhaltensbasierte Analyse bzw. Runtime Machine Learning einsetzen, mit deren Hilfe das System an sich überwacht wird. Da für die weitere Verbreitung der Angreifer vorwiegend Sicherheitslücken ausnützt, sind natürlich auch sämtlich Mechanismen (Tools) relevant, die nicht vorhandene Patches erkennen und ein System auch im Innenverhältnis – also gegen seine direkten Nachbarn – verteidigt mithilfe von Virtual Patching/Vulnerability Protection. Auch eine kundenspezifische Sandbox, die ein Unternehmenssystem täuschend echt nachahmt und wie ein Honeypot funktioniert, kann die Angreifer in die Falle locken.

Bei Angriffen dieser Kategorie sollten Anwender sich allerdings nicht darüber täuschen lassen, dass die kriminellen Profis unter Umständen nur sehr schwache Spuren in den einzelnen Umgebungen hinterlassen. Es ist deshalb auch wichtig, die einzelnen Indikatoren, die auf Clients, Servern und im Netzwerk sichtbar werden, zu korrelieren, um sich ein Bild darüber zu machen, wo der Angriff begonnen und wie er sich danach verbreitet hat und welche System aktuell davon betroffen sind. Für ein solches Gesamtbild reicht ein einzelnes Tool in der Regel nicht aus: Es ist vielmehr eine Frage einer Security Strategie mit zugehörigen Tools.

Trend Micro nennt das X Detection & Response (XDR) für die Expertenanalyse der Datensätze aus den Trend-Micro-Lösungen im Unternehmen. Das „X“ in der Bezeichnung steht für umfangreiche Daten aus verschiedenen Quellen, mit denen versteckte Bedrohungen besser entdeckt werden können. Es geht um neue, integrierte Fähigkeiten für Detection & Response über E-Mail, Netzwerke, Endpunkte, Server und Cloud-Workloads hinweg. Unternehmen erhalten damit umfassenden Überblick über ihren Sicherheitsstatus. Gleichzeitig können sie kleinere Vorfälle aus verschiedenen Sicherheits-Silos miteinander in Verbindung bringen, um komplexe Angriffe zu erkennen, die sonst unentdeckt bleiben würden. Durch die Verbindung von Erkennungen, Telemetriedaten, Prozessdaten und Netzwerk-Metadaten über E-Mail, Netzwerk, Endpunkte und Cloud-Workloads wird die Notwendigkeit manueller Tätigkeiten minimiert. Zudem werden Ereignisse schnell korreliert, die Menschen angesichts der täglichen Flut von Sicherheitswarnungen aus verschiedenen Silos nicht verarbeiten können. Die Ereignisinformationen werden zusätzlich um weitere Daten aus Trend Micros globalem Netzwerk für Bedrohungsinformationen ergänzt und die Erkennung durch spezifische Regeln verfeinert, mit denen Experten die wichtigsten Bedrohungen priorisieren können.

Tesla wird Partner für Hacking-Wettbewerb Pwn2Own 2019

Der diesjährige Hacking-Wettbewerb Pwn2Own wird vom 20. bis 22. März in Vancouver stattfinden und wird von der Zero Day Initiative (ZDI) von Trend Micro organisiert. Die Veranstaltung umfasst in diesem Jahr erstmals eine Automotive-Kategorie.

Die Liste der zu hackenden Geräte wurde in diesem Jahr um ein Tesla Model 3 erweitert. Damit setzt der diesjährige Pwn2Own-Wettbewerb den verstärkten Fokus auf IoT-Geräte (Internet of Things/Internet der Dinge) fort, der bereits den Ende 2018 durchgeführten Pwn2Own Tokyo ausgezeichnet hat. Dort standen erstmals Consumer-IoT-Geräte auf der Liste der anzugreifenden Geräte. Tesla führte als erster Automobilhersteller bereits 2012 Over-the-Air-Updates durch und lieferte seitdem hunderte solcher Updates aus. Die Teilnahme des Unternehmens an dem Wettbewerb stellt einen weiteren Schritt hin zur Ära der vernetzten Geräte dar.

„Seit 2007 ist Pwn2Own zu einem branchenweit führenden Wettbewerb geworden, der die Schwachstellenforschung bei den heute wichtigsten Plattformen fördert“, sagt Udo Schneider, Security Evangelist bei Trend Micro. „Über die Jahre haben wir immer wieder neue Kategorien und Ziele hinzugefügt, um den Fokus der Forscher auf solche Bereiche zu lenken, die für Unternehmen und Verbraucher wichtiger werden. In diesem Jahr arbeiten wir mit einigen der wichtigsten Unternehmen der Technologie-Branche zusammen, um dieses Engagement weiter auszubauen und relevante Schwachstellenforschung zu ermöglichen.“

Anzugreifende Geräte

Die Partnerschaften erweitern die Liste der Ziele des Wettbewerbs um neue Plattformen. Dazu zählen unter anderem Virtualisierungsplattformen, Unternehmensanwendungen und Web-Browser. Die vollständige Liste der anzugreifenden Geräte umfasst die Kategorien Automotive, Virtualisierung, Browser sowie Unternehmensanwendungen und serverseitige Funktionen. Einzelheiten dazu finden Sie hier.

Fazit

Mit der diesjährigen Ausweitung des Pwn2Own kommt Trend Micro dem Ziel näher, durch Partnerschaften mit den wichtigsten Anbietern in diesen Bereichen die vernetzte Welt sicherer zu machen. Das Unternehmen hat dazu vor Kurzem mehrere Initiativen verkündet, unter anderem ein Joint Venture mit Moxa, sowie ein Programm, mit dem IoT-Hersteller die Sicherheit ihrer Geräte während des Entwicklungsprozesses verbessern können.

Wasser- und Energiewirtschaft im Visier des cyberkriminellen Untergrunds

Bei der Erforschung von angreifbaren kritischen Infrastrukturen in der Wasser- und Energiewirtschaft fanden die Experten von Trend Micro eine Reihe von exponierten Industrial Control Systems (ICS) sowie Human Machine Interfaces (HMIs). Sie analysierten auch das Risiko für diese Systeme, vor allem angesichts des aktiven Interesses der verschiedenen cyberkriminellen Gruppen im Untergrund daran. Beweis dafür, wie real die Gefahr ist, war der Angriff auf das ukrainische Stromnetz 2015. Es gibt verschiedene Einträge in den Untergrundforen, die sich mit dem Thema befassen – je nach Motivation des Verfassers.

Zum Teil stammen die Beiträge zu ICS/SCADA in der Infrastruktur für Wasser- und Energiewirtschaft von Personen, die mehr Informationen zu Proofs of Concept (POCs), Schwachstellen und Exploits haben wollen – ein gefährliches Wissen in den falschen Händen. Interessanterweise gibt es aber auch Interessenten an kostenlosem SCADA-Wissen, die diesen Weg den Kosten professioneller Schulungen vorziehen. Andere wiederum geben die Gründe für ihr Interesse nicht preis. Weitere Konversationen in den Foren sind aktionsbezogener und kreisen um Ideen für mögliche Gewinne aus ICS/SCADA-Systemen. Auch werden Posts zu Bug Bounty-Programmen von Unternehmen neu gepostet.

Schon die Tatsache, dass diese Gespräche im Untergrund stattfinden, zeigt, dass für Unternehmen bei der Verbesserung der Sicherheit Eile geboten ist. Angesichts der Tatsache, dass die Recherche exponierte Systeme in kleinen und mittleren Unternehmen gefunden hatte, sollte auch ein Hinweis darauf sein, dass Unternehmen jeglicher Größe in allen Bereichen Ziel von Angriffen werden können.

Weitere Einsichten zu exponierten CI HMIs sowie eine detaillierte Darstellung der Bedrohungsakteure liefert das Whitepaper „Exposed and Vulnerable Critical Infrastructure: Water and Energy Industries“.

Fake Super Mario Run App stiehlt Kreditkarteninformationen

Originalbeitrag von Jordan Pan, Mobile Threats Analyst

Bereits im Dezember letzten Jahres berichtete Trend Micro über gefälschte Apps, die die Popularität des mobilen Spiels Super Mario Run nutzten, um Schadsoftware zu verteilen. Nun haben die Sicherheitsforscher noch mehr bösartige Android Apps gefunden, die denselben Trick anwenden und Kreditkarteninformationen der Nutzer stehlen.
Weiterlesen