ISPIN Security Radar #36/19

/Security Radar

Die Angreifer werden immer raffinierter und finden immer originellere Schlupflöcher. Hilft da ein Joker weiter?

Einen Joker beim Kartenspiel in der Hand zu haben und diesen dann zu ziehen, wenn man nicht mehr weiterkommt, ist immer hilfreich. Die Angreifer werden immer raffinierter und finden immer originellere Schlupflöcher. Dabei werden oft nicht die Computer selbst, sondern die Schwachstellen von harmlosen vernetzten Geräten ausgenutzt, um sich später im Netzwerk ausbreiten zu können. Wer denkt schon bei einem Wasserkocher an eine Schwachstelle? Sie? Babycams, Aquarium-Thermometer, Maus, USB-Kabel sind nur einige weitere. Warum Sie mit einem Joker keine Schlupflöcher finden und nicht unbedingt gewinnen, haben oder werden rund eine halbe Million User von diversen Android-Apps erfahren.

Der Joker schlägt zu

24 Android-Apps, die Hunderttausende Male heruntergeladen wurden, sind von der Malware Joker betroffen und sollten umgehend gelöscht werden. «Joker» – wie die Malware von ihrem Entdecker Aleksejs Kuprins getauft wurde – meldet die Malware sie heimlich für ungewollten Premium-Service-Abonnements an, die über mehrere Monate in Rechnung gestellt werden, bevor der Nutzer überhaupt feststellt, dass er diese abonniert hat. Ausserdem stiehlt der Joker auch SMS-Nachrichten, die Kontaktliste und Geräteinformationen. Google hat bereits reagiert und die betroffenen Apps inzwischen aus Google Play entfernt.

Wikipedia von Anfragen lahmgelegt

Wissen ist Macht, das haben sich wahrscheinlich auch Hacker gedacht, als Sie vergangenen Freitag in weiten Teilen Europas die weltgrösste Enzyklopädie Wikipedia mittels unzähliger «Anfragen» (DDOS-Attacke) gezielt lahm gelegt haben. Über Twitter verkündeten Unbekannte, dass Sie neue Angriffswerkzeuge ausprobieren wollen und die Attacke nach wenigen Stunden wieder gestoppt wird. Der Gründer des Anzeigenportals „Craigs List“ und Mäzen Craig Newmark hat dem Online-Lexikon nun 2,5 Millionen Dollar gespendet, die der Sicherheit der Plattform zugutekommen sollen.

Alter Methusalem weiter brandgefährlich

Auch eine altbekannt Malware sorgt wieder für Schlagzeilen: Emotet. Auch wenn dieser Methusalem einer Schadsoftware bereits seit 2014 bekannt ist, gilt Emotet nach wie vor als eine der gefährlichsten Bedrohungen für die Unternehmens-IT weltweit. Gemäss G-Data gibt es mehr als 200 neue Versionen am Tag – damit verantworten die Emotet Macher die aktuell produktivste Cybercrime-Kampagne. Nachdem die Cyberkriminellen nach den Sommerferien die C&C Server wieder hochgefahren haben, warnt das CERT BUND via Twitter das die Emotet C&C-Server eine neue Version der Malware mit neuen C&C Adressen ausliefern. Administratoren müssen daher reagieren und die betreffenden C&C-Server in ihren Netzwerk-Firewalls blockieren. Für Neustadt am Rübenberg in der Nähe von Hamburg kommt die Warnung allerdings zu spät. Die Bildschirme der Verwaltung bleiben dadurch einige Tage schwarz. Die Behörden sind daher nur für telefonische oder mündliche Beratungen geöffnet, die Zulassungsstelle für Kraftfahrzeuge blieb ganz geschlossen. Die Emotet-Infektion erfolgte wahrscheinlich durch einen infizierten Mailanhang. Auch im Süden der USA wurden in letzter Zeit einige Städte Emotet-Opfer. Die Angriffe haben aber wahrscheinlich alle eines gemeinsam: Zu Beginn steht meistens ein 1mm dicker Klick mit der Maus auf einen Anhang in einem Mail. Die schadhaften Dokumente installieren danach Emotet auf dem Rechner, der anschliessend als Information-Stealer sämtliche Kennwörter, E-Mails und E-Mail-Adressen ausliest und an die C&C-Server weiterleitet. Das gefährliche an Emotet ist, dass das Treiben der Malware meist lange unentdeckt bleibt und dass Emotet eigentlich nur die Funktion eines Türöffners hat, der dann weitere Malware wie z.B. Ryuk auf dem Rechner installiert.

PayPal – Echt oder Falsch?

Lieber PayPal-Kunde, so kontaktieren die Cyberkriminellen zurzeit wieder die Nutzer von PayPal. E-Mails von PayPal erhalten wir als Nutzer ja regelmässig, aber sind die immer auch echt? Zurzeit sind die Cyberkriminellen wieder aktiv am im Trüben Phishen. Die Betrüger versuchen zurzeit mit Mails wie z.B. «Ihre Bestellung war erfolgreich», «Ihre Bestellung wurde abgesendet!» oder «Bestätigung Ihrer Zahlung an XYZ» die User zu verleiten auf einen Link z.B. «Stornierung» im Mail zu klicken. Aber Achtung: Die Bestätigung Ihrer Zahlung ist Betrug. Oder es wird z.B. ein täuschend echtes Mail mit der monatlichen Kontoübersichtund der Aufforderung versendet, sich einzuloggen um die Details der Zahlungen zu sehen. Dabei wird freundlicher Weise auch noch darauf hingewiesen, dass PayPal vertrauliche Informationen niemals per Mail versendet. Nett, oder? Auch Mails mit dem Betreff "Wichtige SicherheitsmitteilungReferenznummer: XYZ" folgen dem Muster. Hier wird suggeriert dass aus Sicherheitsgründen (Payment Service Directive 2 ) die hinterlegten Daten zu überprüfen sind. Falls der User dies nicht macht, wird angeblich das Kundenkonto vorsorglich deaktiviert. Bitte niemals einen Link zum einloggen in der Mail öffnen, d.h. in diesem Fall die PayPal-Seite manuell im Browser aufrufen. Aber auch hier aufgepasst. Eine gefälschten PayPal-Seite die vorgibt eine offizielle App für Cashback von PayPal zu offerieren, verbreitet derzeit eine neue Variante der Nemty Ransomware an ahnungslose Benutzer. Die App verspricht 3-5% der Einkäufe über das Zahlungssystem zurückzugeben. Es scheint, dass die Betreiber dieser dateiverschlüsselnden Malware verschiedene Vertriebskanäle ausprobieren, wie sie kürzlich als Payload vom RIG Exploit Kit (EK) beobachtet wurde. Der Sicherheitsforscher nao_sec fand den neuen Vertriebskanal Nemty und nutzte die AnyRun-Testumgebung, um die Malware einzusetzen und ihre Aktivitäten auf einem infizierten System zu verfolgen.

Banking-Tojaner Good-Kit umgeht Windows Defender

Da der Windows Defender immer älter und immer enger in Windows 10 integriert wird, entwickeln Malware-Autoren Techniken, um seiner Erkennung zu entgehen. Dies ist der Fall beim GootKit Banking-Trojaner, der einen UAC-Bypass und WMIC-Befehle verwendet, um die ausführbare Malware von der Überprüfung durch den Windows Defender auszuschliessen. GootKit versucht mittels Videoerfassung die Banking-Anmeldeinformationen zu stehlen und auf gefälschte Bankseiten weiterzuleiten. Ein interessanter Aspekt dieser Infektion ist, dass es sich um eine Node JS-Anwendung handelt, die in einer ausführbaren Datei verpackt ist. Nach der Analyse einer kürzlich von JamesWT gefundenen GootKit-Stichprobe stellte der Malware-Forscher und Reverse Engineer Vitali Kremez fest, dass GootKit versucht, die Erkennungen durch Windows Defender zu umgehen, indem der Malware-Pfad vom Scannen ausgeschlossen wird.

Sie möchten noch umfangreicher informiert werden? Der wöchentliche Threat Report von ISPIN liefert Ihnen kontinuierlich Bedrohungsinformationen und verschafft Ihnen damit Transparenz über Ihre aktuelle Sicherheitslage. Nehmen Sie mit uns Kontakt auf und erfahren Sie mehr zu unseren Cyber Defense Services.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter