Cyber-Marktplätze für Angreifer

Der aktuelle HP Wolf Security Threat Insights Report zeigt, dass Angreifer auf Cyber-Marktplätzen alle notwendigen Tools erhalten, um beim Eindringen in Unternehmen alle Erkennungsmaßnahmen zu umgehen. Der Bericht basiert auf Daten von Millionen Endgeräten, auf denen HP Wolf Security läuft.

Houdinis letzter Akt

Eine neue Kampagne zielte auf Unternehmen mit gefälschten Versanddokumenten ab, hinter denen sich die JavaScript-Malware Vjw0rm verbarg. Der verschleierte Code ermöglichte es der Malware, die E-Mail-Abwehr zu umgehen und Endgeräte zu erreichen. Der analysierte Angriff speiste Houdini, ein zehn Jahre altes VBScript-RAT, in das Netzwerk. Dies zeigt, dass Cyber-Kriminelle mit den richtigen vorgefertigten Tools von Cyber-Crime-Marktplätzen in der Lage sind, alte Malware effektiv einzusetzen, indem sie die in Betriebssystemen integrierten Skriptfunktionen missbrauchen.

Cyberkriminelle setzen „Jekyll and Hyde“-Angriffe ein

HP entdeckte eine Parallax RAT-Kampagne, die zwei Threads startet, wenn ein Benutzer eine bösartige gescannte Rechnung öffnet, um ihn so zu täuschen. Der „Jekyll“-Thread öffnet eine Scheinrechnung, die von einer legitimen Online-Vorlage kopiert wurde. So wird das Misstrauen beim Empfänger reduziert. Der „Hyde“-Thread führt die Malware im Hintergrund aus. Dieser Angriff ist für Bedrohungsakteure leicht durchzuführen – und relativ kostengünstig: Hackerforen bieten vorgefertigte Parallax-Kits für 65 US-Dollar pro Monat an.

Angreifer stellen gefälschte Malware-Baukästen auf Code-Sharing-Plattformen wie GitHub bereit. Diese Repositories mit bösartigem Code verleiten Möchtegern-Bedrohungsakteure dazu, ihre eigenen Rechner zu infizieren. Ein beliebter Malware-Baukasten, XWorm, wird auf Untergrundmärkten für bis zu 500 US-Dollar angeboten. Diese relativ hohen Kosten verleiten Cyber-Kriminelle mit knappen Budgets dazu, gefälschte, geknackte Versionen zu kaufen.

Archive sind der beliebteste Malware Dateityp

Der Bericht zeigt auch, wie Cyber-Kriminelle ihre Angriffsmethoden immer weiter diversifizieren, um Sicherheitsrichtlinien und Erkennungstools zu umgehen. Weitere Ergebnisse:

• Archive waren im sechsten Quartal in Folge der beliebteste Malware Dateityp, der in 36 Prozent der analysierten Fälle verwendet wurde.
• Obwohl sie standardmäßig deaktiviert sind, stiegen makroaktivierte Excel-Add-in-Bedrohungen (.xlam) von Platz 46 im zweiten Quartal auf Platz 7 der von Angreifern am häufigsten missbrauchten Dateierweiterungen im dritten Quartal auf. Im 3. Quartal gab es auch Malware-Kampagnen, die PowerPoint-Add-Ins missbrauchten. 
• Mindestens zwölf Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen sowohl im dritten Quartal als auch im zweiten Quartal einen oder mehrere E-Mail-Gateway-Scanner.
• Im 3. Quartal wurden vermehrt Angriffe mit Exploits in den Formaten Excel (91 Prozent) und Word (68 Prozent) festgestellt.
• Die Zahl der isolierten PDF-Bedrohungen stieg im Vergleich zum zweiten Quartal um fünf Prozentpunkte.
• Die wichtigsten Bedrohungsvektoren im 3. Quartal waren E-Mails (80 Prozent) und Downloads von Browsern (elf Prozent).