Malware im Februar: WordPress-Websites im Visier einer neuen FakeUpdates-Kampagne

Im Februar 2024 entdeckten die Sicherheitsforscher Check Point eine neue FakeUpdates-Kampagne, die WordPress-Websites attackiert. Diese Websites wurden über geklaute wp-admin-Administratorkonten infiziert, wobei die Malware ihre Taktik zur Infiltration von Websites anpasste, indem sie modifizierte Ausgaben echter WordPress-Plugins verwendete und Benutzer dazu verleitete, einen Remote-Access-Trojaner herunterzuladen. Unterdessen blieb Lockbit3 auch nach seiner Entfernung Ende Februar die am weitesten verbreitete Ransomware-Gruppe, die weltweit für 20 Prozent der veröffentlichten Angriffe verantwortlich war. In Deutschland war zudem der Bildungssektor weiterhin der am stärksten betroffene Bereich.  

FakeUpdates, auch bekannt als SocGholish, ist seit mindestens 2017 aktiv und verwendet JavaScript-Malware, um Websites anzugreifen, insbesondere solche mit Content-Management-Systemen. Die FakeUpdates-Malware, die im weltweiten Bedrohungsindex häufig als die am weitesten verbreitete Malware eingestuft wird, zielt darauf ab, Benutzer zum Herunterladen von Malware zu verleiten, und stellt trotz aller Bemühungen, sie zu stoppen, weiterhin eine erhebliche Bedrohung für die Sicherheit von Websites und Benutzerdaten dar. Diese hochentwickelte Malware-Variante wurde in der Vergangenheit mit der russischen Cybercrime-Gruppe Evil Corp. in Verbindung gebracht. Aufgrund der Downloader-Funktionalität wird vermutet, dass die Gruppe die Malware durch den Verkauf des Zugangs zu infizierten Systemen monetarisiert, was zu weiteren Malware-Infektionen führt, wenn die Gruppe mehreren Kunden den Zugang gewährt. 

Top-Malware in Deutschland 

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat. 

↑ CloudEyE
CloudEye ist ein Downloader, der auf die Windows-Plattform abzielt und dazu verwendet wird, schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren. 

↔ FakeUpdates
FakeUpdates (AKA SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt die Payloads auf die Festplatte, bevor er sie startet. FakeUpdates führte zu einer weiteren Kompromittierung durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult. 

↑ Formbook
FormBook ist ein Infostealer, der auf das Betriebssystem Windows abzielt und erstmals 2016 entdeckt wurde. Er wird in Hacker-Underground-Foren als Malware-as-a-Service (MaaS) vermarktet, da er über leistungsfähige Umgehungstechniken verfügt und relativ preiswert ist. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien auf Anweisung seines C&C herunterladen und ausführen. 

Meistgenutzte Sicherheitslücken  

Im vergangenen Monat war “Web Servers Malicious URL Directory Traversal” die am häufigsten ausgenutzte Schwachstelle, von der weltweit 51 Prozent der Unternehmen betroffen waren, gefolgt von “Command Injection Over HTTP” und “Zyxel ZyWALL Command Injection” mit jeweils 50 Prozent weltweit. 

↑ WebserverMalicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260)
Auf verschiedenen Webservern existiert eine Directory Traversal-Schwachstelle. Die Sicherheitsanfälligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Verzeichnisüberquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen. 

↓Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086)
Es wurde eine Schwachstelle für Command Injectionover HTTP gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Bei erfolgreicher Ausnutzung könnte ein Angreifer beliebigen Code auf dem Zielrechner ausführen.  

↑ ZyxelZyWALL Command Injection (CVE-2023-28771)
In der Zyxel ZyWALL besteht eine Befehlsinjektionsschwachstelle. Wird diese Schwachstelle erfolgreich ausgenutzt, können entfernte Angreifer beliebige Betriebssystembefehle auf dem betroffenen System ausführen. 

Top 3 Mobile Malware 

Im vergangenen Monat stand Anubis weiterhin an erster Stelle der am häufigsten verbreiteten mobilen Malware, gefolgt von AhMyth und Hiddad. 

↔ Anubis
Anubis ist eine Banking-Trojaner-Malware, die für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt. 

↔ AhMyth
AhMyth ist ein Remote Access Trojaner (RAT), der im Jahr 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, was in der Regel zum Stehlen sensibler Informationen genutzt wird. 

↔ Hiddad
Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails des Betriebssystems erlangen.  

Top Ransomware Groups 

Dieser Abschnitt enthält Informationen von fast 200 Ransomware-Shame-Sites, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und von denen 68 in diesem Jahr die Namen und Daten von Opfern veröffentlicht haben. Cyberkriminelle nutzen diese Websites, um Druck auf Opfer auszuüben, die das Lösegeld nicht sofort zahlen. Die Daten von diesen „Shame Sites“können zwar abweichen, bieten aber dennoch wertvolle Einblicke in das Ransomware-Ökosystem, das derzeit das größte Risiko für Unternehmen darstellt. 

Im vergangenen Monat war LockBit3 die am weitesten verbreitete Ransomware-Gruppe, die für 20 Prozent der veröffentlichten Angriffe verantwortlich war, gefolgt von Play mit 8Prozent und 8Base mit 7Prozent. 

LockBit3
LockBit3 ist eine Ransomware, die mit einem RaaS-Modell arbeitet und erstmals im September 2019 gemeldet wurde. LockBit3 zielt auf große Unternehmen und Regierungsstellen in verschiedenen Ländern ab, nicht aber auf Einzelpersonen in Russland oder der Gemeinschaft Unabhängiger Staaten (GUS). 

Play
Play ist der Name einer Art von Ransomware. DieseArt Malware verschlüsselt Daten und verlangt für die Entschlüsselung Lösegeld. 

8base
Die 8Base-Gruppe ist eine Ransomware-Bande, die mindestens seit März 2022 aktiv ist. Sie erlangte Mitte 2023 aufgrund einer deutlichen Zunahme ihrer Aktivitäten große Bekanntheit. Diese Gruppe wurde bei der Verwendung einer Vielzahl von Ransomware-Varianten beobachtet, wobei Phobos ein gemeinsames Element ist. 8Base operiert mit einem hohen Maß an Raffinesse, was sich in der Verwendung fortschrittlicher Techniken in ihrer Ransomware zeigt. Zu den Methoden der Gruppe gehören doppelte Erpressungstaktiken.