Malware-Ranking April: FakeUpdates bleibt die dominante Malware in Deutschland

Sicherheitsforscher haben eine ausgeklügelte mehrstufige Malware-Kampagne aufgedeckt, die AgentTesla, Remcos und Xloader verbreitet. Der Angriff beginnt mit Phishing-E-Mails, die als Bestellbestätigungen getarnt sind und die Opfer dazu verleiten, ein schädliches 7-Zip-Archiv zu öffnen. Dieses Archiv enthält eine JScript-verschlüsselte (.JSE) Datei, die ein Base64-codiertes PowerShell-Skript startet. Dieses wiederum führt im nächsten Schritt eine .NET- oder AutoIt-basierte ausführbare Datei der zweiten Stufe aus. Die endgültige Malware wird in legitime Windows-Prozesse wie RegAsm.exe oder RegSvcs.exe eingeschleust, wodurch die Tarnung und die Umgehung von Erkennungsmechanismen erheblich verbessert werden.

Diese Ergebnisse spiegeln einen bemerkenswerten Trend in der Cyber-Kriminalität wider: die Konvergenz von handelsüblicher Malware und fortschrittlichen Techniken. Tools, die früher offen und kostengünstig verkauft wurden, wie AgentTesla und Remcos, sind nun in komplexe Lieferketten integriert, welche die Taktiken staatlich geförderter Akteure nachahmen und so die Grenzen zwischen finanziell und politisch motivierten Bedrohungen verwischen.

Top-Malware in Deutschland

Die Pfeile beziehen sich auf die Veränderung des Ranges im Vergleich zum Vormonat.

↔ FakeUpdates (3,35 %)
Fakeupdates (auch bekannt als SocGholish) ist eine Downloader-Malware, die erstmals 2018 entdeckt wurde. Sie wird über Drive-by-Downloads auf kompromittierten oder bösartigen Websites verbreitet und fordert Nutzer auf, ein gefälschtes Browser-Update zu installieren. Die Fakeupdates-Malware wird mit der russischen Hackergruppe Evil Corp in Verbindung gebracht. Sie wird verwendet, um nach der Erstinfektion verschiedene sekundäre Nutzlasten einzuschleusen.  

↑ Remcos (2,69 %)
Remcos ist ein Remote Access Trojaner (RAT), der erstmals 2016 entdeckt wurde und häufig über bösartige Dokumente in Phishing-Kampagnen verbreitet wird. Er wurde entwickelt, um Windows-Sicherheitsmechanismen wie UAC zu umgehen und Malware mit erhöhten Berechtigungen auszuführen, was ihn zu einem vielseitigen Werkzeug für Angreifer macht.

↓ Androxgh0st (2,43 %)
AndroxGh0st ist eine Python-basierte Malware, die auf Anwendungen abzielt, die das Laravel PHP-Framework verwenden. Sie sucht nach ungeschützten .env-Dateien, die sensible Informationen wie Anmeldedaten für Dienste wie AWS, Twilio, Office 365 und SendGrid enthalten. Die Malware nutzt ein Bot-Netz, um Websites zu identifizieren, auf denen Laravel ausgeführt wird, und vertrauliche Daten zu stehlen. Sobald der Zugriff erfolgt ist, können Angreifer zusätzliche Malware einsetzen, Backdoor-Verbindungen herstellen und Cloud-Ressourcen für Aktivitäten wie das Mining von Kryptowährungen nutzen.

Top Mobile Malware

↔ Anubis
Anubis ist ein vielseitiger Banking-Trojaner, der ursprünglich für Android-Geräte entwickelt wurde und inzwischen erweiterte Funktionen besitzt, wie das Umgehen der Multi-Faktor-Authentifizierung (MFA) durch das Abfangen von SMS-Einmal-Passwörtern (OTPs), Keylogging, Audioaufzeichnung und Ransomware-Funktionen. Er wird häufig über betrügerische Apps im Google Play Store verbreitet und hat sich zu einer der am weitesten verbreiteten Mobile-Malware-Familien entwickelt. Darüber hinaus enthält Anubis verschiedene RAT-Funktionen (Remote Access Trojan), die eine umfassende Überwachung und Kontrolle der infizierten Systeme ermöglichen.

↔ AhMyth
AhMyth ist ein Fernzugriffstrojaner (RAT), der auf Android-Geräte zielt und sich in der Regel als legitime Anwendung, wie Bildschirmschreiber, Spiele oder Krypto-Währungs-Tools, tarnt. Nach der Installation erhält er weitreichende Berechtigungen, um nach einem Neustart weiter zu bestehen und sensible Informationen, wie Bankdaten, Krypto-Währungs-Wallet-Details, MFA-Codes (Multi-Faktor-Authentifizierung) und Passwörter, zu stehlen. AhMyth ermöglicht außerdem Keylogging, Screen-Capture, Kamera- und Mikrofonzugriff sowie das Abfangen von SMS und ist damit ein vielseitiges Tool für Datendiebstahl und andere kriminelle Aktivitäten.   

↑ Hydra
Hydra ist ein Banking-Trojaner, der entwickelt wurde, um Bankdaten zu stehlen, indem er die Opfer dazu auffordert, jedes Mal, wenn sie eine Banking-App öffnen, gefährliche Berechtigungen zu aktivieren und Zugriff zu gewähren.

Aktivste Ransomware-Gruppen

1. Akira
Akira Ransomware, erstmals Anfang 2023 gemeldet, zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Sie verwendet symmetrische Verschlüsselung mit CryptGenRandom() und Chacha 2008 für die Dateiverschlüsselung und ähnelt der durchgesickerten Conti v2-Ransomware. Akira wird über verschiedene Wege verbreitet, darunter infizierte E-Mail-Anhänge und Exploits in VPN-Endpunkten. Nach der Infektion verschlüsselt sie Daten und hängt die Erweiterung „. akira“ an Dateinamen an. Anschließend wird eine Lösegeldforderung angezeigt, in der die Zahlung für die Entschlüsselung verlangt wird.

2. SatanLock
SatanLock ist eine neue Operation, die seit Anfang April öffentlich aktiv ist. Sie hat 67 Opfer veröffentlicht, aber wie bei vielen anderen neuen Akteuren wurden mehr als 65 Prozent davon bereits zuvor von anderen Akteuren gemeldet.

3. Qilin
Qilin, auch Agenda genannt, ist eine kriminelle Ransomware-as-a-Service-Operation, die mit Partnerunternehmen zusammenarbeitet, um Daten von kompromittierten Organisationen zu verschlüsseln und zu stehlen, um anschließend ein Lösegeld zu fordern. Diese Ransomware-Variante wurde erstmals im Juli 2022 entdeckt und wird in Golang entwickelt. Quilin ist dafür bekannt, dass es auf große Unternehmen und hochwertige Organisationen blickt, wobei der Schwerpunkt auf dem Gesundheits- und Bildungssektor liegt. Qilin infiltriert die Opfer in der Regel über Phishing-E-Mails, die schädliche Links enthalten, um sich Zugang zu ihren Netzwerken zu verschaffen und vertrauliche Informationen zu klauen. Nach dem Eindringen bewegt sich Qilin meist seitlich durch die Infrastruktur des Opfers und sucht nach wichtigen Daten, die es verschlüsseln kann.