ISPIN Security Radar #28/19

/Security Radar

Mobilität bedeutet auch Malware in der Hosentasche! Erhalten Sie einen kurzen Überblick über Security-Themen wie z.B. Agent Smith, FinSpy, Zoom und ECh0raix welche die Sicherheitsexperten im Moment beschäftigen.

Moderne Arbeitskonzepte wie Mobile Workplace, Bring your own device (BYOD) werden von den Arbeitnehmern heute erwartet. "Mobilität bedeutet auch Malware in der Hosentasche", meint Oliver Locher, Cyber Defense Services. Regeln wie  sein Smartphone nicht unbeaufsichtigt lassen, keine Apps aus unbekannten Quellen installieren und unbekannte Links auf Websites oder von unbekannten Nummern meiden und immer die aktuellsten Updates installieren sind essentiell und gehören in jedes Awareness-Programm.

Whatsapp-User aufgepasst: Es sollen bereits 25 Millionen Geräte von einer neuen Android-Malware  infiziert sein. Die Schadsoftware «Agent Smith» tarnt sich laut Experten von Check Point als normale Android-App, meist als Gratis-Spiel oder praktisches Tool. Ist die App erst einmal installiert, durchsucht die Malware das Gerät nach beliebten Apps wie Whatsapp und ersetzt die bereits installierten Anwendungen dann durch bösartige Klone ohne das der User davon etwas mitbekommt. Einziger Unterschied ist, dass man als User plötzlich betrügerische Werbung erhält. Gemäss Check Point kann die Malware zudem die Nutzer belauschen oder auf deren Bankdaten zugreifen. Agent Smith hat sich in Indien auf Millionen Smartphones rasend schnell ausgebreitet. Gemäss Check Point sind aber auch mehr und mehr deutsche Nutzer betroffen sind. Die Rede ist zurzeit von über 42.000 Nutzern.

Sicherheitsexperten von Kaspersky warnen zudem vor einer neuen Version des aus Deutschland stammenden Trojaners FinSpy und bekannt als FinFisher. Die Malware, welche sich sowohl auf Android- als auch auf iOS-Geräten verbreitet, kann die Verschlüsselung von Messengern wie WhatsApp oder Telegram umgehen und persönliche Nachrichten und Bilder abgreifen. Laut Kaspersky soll die neue Version von FinSpy auch Messengerdienste wie Signal oder Threema knacken können, die als besonders sicher gelten. Die Malware Zudem kann zudem die Kamera aktivieren, auf das Mikrofon zugreifen oder SMS-Nachrichten sowie E-Mails einsehen und VoIP-gespräche mithören. Ein Smartphone kann entweder per direktem physischen Zugriff infiziert werden oder über dubiosen Apps und Downloads. Voraussetzung dafür ist, dass das Smartphone jailbroken (iOS) beziehungsweise gerootet (Android) ist. Das bedeutet, dass der Nutzer sich auf dem Gerät Administratorrechte verschafft hat. Laut Kaspersky wurde der Trojaner mittlerweile in der aktuellen Version in über 20 Ländern entdeckt. Noch während Kaspersky einen ausführlichen Artikel über FinSpy veröffentlichte, wurde bereits wieder eine neue Version entdeckt, die derzeit noch untersucht wird.

Auch MAC-Business-Anwender sind vor Sicherheitslücken nicht gefeit. So klafft im Mac Client der Videoconferencing-Anwendung Zoom eine gravierende Sicherheitslücke, wie der Sicherheitsexperte Jonathan Leitschuh berichtete. Diese erlaubt es Angreifern, die Webcam unerkannt zu aktivieren oder das System per Denial-of-Service-Angriff lahmzulegen. Ein Teil des Problems war, dass Zoom bei der Installation einen lokalen Webserver mitinstalliert hatte, der auch bei der Deinstallation der Software auf den Rechnern verblieb. Zwar hatte Zoom ein Update bereitgestellt, aber Apple hat das Entfernen des Webservers jetzt offenbar selbst in die Hand genommen, wie Techcrunch berichtet.

Eine von Forschern zweier verschiedener Sicherheitsfirmen, Intezer und Anomali, unabhängig voneinander entdeckte neue Form der Ransomware ECh0raix auch bekannt unter QNAPCrypt, zielt auf QNAP Netzwerkspeichergeräte ab, indem sie schwache Anmeldeinformationen durch Brute-Force erzwingt und bekannte Schwachstellen in ihren Systemen ausnutzt. Die neue Ransomware, ist in der Programmiersprache Go geschrieben und verschlüsselt Dateien mit gezielten Erweiterungen durch AES-Verschlüsselung und fügt jeweils die Erweiterung .encrypt hinzu. Wenn die eCh0raix-Ransomware auf dem NAS ausgeführt wird, führt sie Sprachprüfungen durch, um festzustellen, ob das Gerät aus bestimmten GUS-Ländern (Belarus, der Ukraine oder Russland) stammt. Wenn ja, beendet die Ransomware den Dateiverschlüsselungsprozess und beendet sich, ohne die Dateien zu beschädigen.

 

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter