ISPIN Security Radar #18/19

/Security Radar

Die beiden aktivsten Malware in der letzten Woche waren zwei Altbekannte – «Emotet» und «Smoke Loader». Obwohl beide Schadprogramme relativ alt sind, beschäftigen Sie die Securityszene weiterhin, den die Cyberkriminellen entwickeln immer wieder neue Modifikationen und passen ihre Angriffsziele an.

«Smoke Loader», auch bekannt unter «Dofoil»,  ist ein Malware-Downloader, der über ein OLE-Paket (Object Linking and Embedding) eingeschleust wird, um weitere Schadsoftware runterzuladen und auf dem infizierten System auszuführen. «Smoke Loader» ist seit 2011 aktiv und wurde hauptsächlich für den Download der Banking-Trojaner «Trickbot» und «Panda», sowie dem «Azorult Info-Stealer» eingesetzt. Ganz aktuell feiert der Banking-Trojaner «Retefe» sein Comeback, indem er anstelle des bösartige VBA-Script sLoad auf «Smoke Loader» als Zwischenloader setzt. «Smoke Loader» ist zudem mit Hilfe von Plug-Ins um zusätzliche Funktionen erweiterbar. Unter anderem exisitiert ein Plug-In, welches sowohl Zugangsdaten von E-Mail-Konten als auch von FTP-Programmen abfängt und an die Betreiber der Malware weiterleitet.

Auch die Mac-Welt bleibt vor Angriffen nicht verschont. «OSX.DOK» ist eine ziemlich ausgereifte Malware, die auf MacOS abzielt. Seit 2017 aktiv, hat sie in diesem Jahr einige Upgrades erhalten. Ursprünglich wurde die Malware über eine Phishing-Kampagne verbreitet, die versuchte den Benutzer davon zu überzeugen, dass es ein Problem mit seiner Steuererklärung gab. Ein ähnlicher Trick wird in der neuen Version angewendet. Das schädliche "Dokument" hat jetzt ein gefälschtes Adobe PDF-Symbol mit der Anweisung "Zweimal auf das Symbol klicken, um das Dokument anzuzeigen", das beim Einbinden des DMG angezeigt wird. Ein Doppelklicken auf die "Dokument.app" startet eine Vielzahl von Tasks und installiert im Hintergrund eine Reihe von Anwendungen. Das erste was aus Sicht des Benutzers passiert ist, dass der gesamte Desktop von einem gefälschten "App Store Update" Startbildschirm übernommen wird. Der Benutzer kann diese Ansicht nicht abbrechen oder beenden, da die Anwendung die Tastatur deaktiviert. Obwohl wir diese Technik unter MacOS nicht oft sehen, ist dies keine neue Technik, welche die Hacker erfunden haben. Vielmehr haben die Malware-Autoren die gleichen Apple-APIs genutzt, die Spieleentwickler verwenden, um ein immersives Erlebnis zu erzeugen und die Spieler in bestimmte Spielsituationen zu bringen.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter