Cyberattacken auf Unternehmen
Qbot löst Emotet ab
Fortsetzung des Artikels von Teil 1
Unbemerkte Fernsteuerung und Kontrolle eines fremden Rechners
Neben Qbot sind zurzeit auffällig viele Remote Access Trojaner (RAT) aktiv. Mehr als 30 Prozent der abgewehrten Angriffe wurden mit AveMariaRAT oder njRAT ausgeführt. RATs ermöglichen eine vom Nutzer unbemerkte Fernsteuerung und administrative Kontrolle eines fremden Rechners. So können Angreifer unter anderem den Desktop des Opfers einsehen, Tastatureingaben protokollieren, auf die Kamera zugreifen sowie die in Browsern gespeicherte Anmeldeinformationen kopieren oder Dateien hoch- und herunterladen.
Insbesondere die aktuellen RAT-Kampagnen zeigen, dass der Trend hin zu immer professionelleren Cyberangriffen geht. Kriminelle agieren dabei verstärkt im Team und bauen einzelne Bausteine als Malware-as-a-Service zu einer modularen Infektionskette zusammen. Eine genaue Analyse einer aktuellen Kampagne der »Aggah«-Gruppe zeige, dass die Angreifer versuchen, Schutz- und Erkennungsmechanismen auf dem infizierten Rechner zu deaktivieren, nachdem der Nutzer ein schadhaftes Makro in einer Phishing-Mail aktiviert hat. Das initiale Skript schaut, welche Endpoint-Protection-Lösung auf dem System installiert ist und wählt dann das nächste Skript aus, um die Schutzlösung auszutricksen. Hinzu kommt, dass die Angreifer auch ihre Infrastruktur modularisieren, indem sie schädlichen Code auf der Text-Sharing-Plattform Pastebin speichern und von dort aufrufen.
Schadsoftware »IcedID« kann Sicherheitslösungen ausweichen
Noch im März war laut Check Point »IcedID« auf Platz eins der meistgenutzen Malware. »IcedID« ist ein Banking-Trojaner, der erstmals im September 2017 auftauchte. Er nutzt in der Regel andere bekannte Banking-Trojaner, darunter Emotet, Ursnif und Trickbot, um sich verbreiten zu lassen. Der Trojaner stiehlt Finanzdaten von Benutzern, sowohl über Umleitungsangriffe (installiert einen lokalen Proxy, um Benutzer auf gefälschte Klon-Seiten umzuleiten) als auch über Web-Injektionsangriffe (injiziert einen Browserprozess, um gefälschte Inhalte überlagert auf der Originalseite zu präsentieren).
»›IcedID‹ gibt es schon seit einigen Jahren, wurde aber erst kürzlich in großem Umfang eingesetzt. Dies zeigt, dass Cyberkriminelle weiterhin ihre Taktik anpassen, um Organisationen aller Art zu schädigen«, sagt Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point Software Technologies. »Diese Schadsoftware kann besonders gut Sicherheitslösungen ausweichen und kennt eine Reihe von Techniken, um finanzielle Informationen zu stehlen. Umfassende Schulungen für alle Mitarbeiter sind von entscheidender Bedeutung, damit diese die diversen Arten von Spam-E-Mails erkennen können« meint Horowitz.
- Qbot löst Emotet ab
- Unbemerkte Fernsteuerung und Kontrolle eines fremden Rechners
Lesen Sie mehr zum Thema
