Comretix Blog

In einem Bericht zeigen sie unter anderem auf, dass nach den USA und Vietnam die meisten Geräte aus Deutschland (18.900) stammen. Es wird der chinesischen Gruppe Flax Typhoon, auch bekannt als RedJuliett und Ethereal Panda, zugeschrieben, die es zu Spionagezwecken eingesetzt haben sollen. Das Botnetz nutzt die Mirai Malware-Familie, deren Quellcode 2016 veröffentlicht wurde und seitdem verwendet wird, um IoT-Geräte wie Webcams, DVRs, IP-Kameras und Router mit Linux-basierten Betriebssystemen zu übernehmen. Seit 2016 wurden verschiedene Mirai-Botnetze immer wieder zur Durchführung von DDoS-Angriffen und anderen kriminellen Aktivitäten verwendet.

Mirai weiterhin aktiv

Antoinette Hodes, Global Solutions Architect & Security Evangelist bei Check Point Software: „Wir treten in eine Ära ein, in der IoT-Geräte wie Router und Webcams tagtäglich in internationalen Cyberkonflikten als Waffen eingesetzt werden. Es gilt nach wie vor, die Lehren aus dem 2020 aufgedeckten Mirai-Botnetz umzusetzen. Leider ist Mirai noch immer aktiv und richtet weiter Schaden an. Weitere Beispiele wie die Aufdeckung des Proxy-Botnetzes RSOCK oder die jüngst bei den Ubiquity G4 Instant Sicherheitskameras veröffentlichten Sicherheitslücken verdeutlichen die Gefährdungslage. Die Warnung der Behörden vor der von China ausgehenden Kampagne zeigt, dass staatlich unterstützte Akteure diese Schwachstellen aktiv ausnutzen, um globale und kritische Netzwerke zu infiltrieren.“

Präventive Sicherheitskontrollen für IoT-Geräte

„Von China gesteuerte Kampagnen schreiben die Spielregeln neu. Niemand spricht über das Ausmaß und die größeren Risiken. Die bösartigen Akteure hinter dem Botnetz gaben sich als Experten einer Informationssicherheitsgruppe namens Integrity Technology Group aus, so dass sie über einen längeren Zeitraum unter dem Radar fliegen konnten. Es gelang ihnen, wertvolle Informationen zu erlangen und sich möglicherweise Zugang zu kritischen Infrastrukturen, Regierungsbehörden, Unternehmen und Universitäten zu verschaffen. Der Vorfall zeigt die Notwendigkeit präventiver Sicherheitskontrollen für IoT-Geräte auf. Diese sollten nach dem Zero-Tolerance-Ansatz erfolgen, um die gesamte Lieferkette abzusichern“, rät Antoine Hodes weiter.

MFA aktivieren und Software aktualisieren

Die folgenden Maßnahmen helfen, um zu verhindern, dass die eigenen Geräte Teil eines Botnetzes werden:

IoT-basierte Angriffe stark ansteigend

Bereits im letzten Jahr hatten die Sicherheitsforscher von Check Point Research eine Zunahme von IoT-basieren Angriffen festgestellt. In den ersten beiden Monaten des Jahres 2023 war die durchschnittliche Anzahl der wöchentlichen Angriffe auf IoT-Geräte pro Unternehmen im Vergleich zu 2022 um 41 Prozent gestiegen. Im Durchschnitt waren 54 Prozent der Unternehmen jede Woche von versuchten Cyberangriffen auf IoT-Geräte betroffen. Bereits damals waren europäische Unternehmen die am stärksten von Angriffen auf IoT-Geräten attackierten Firmen, gefolgt von jenen aus Asien und Lateinamerika.

Trend Micro hat eine neue Studie zum Umgang mit Cyberrisiken in Unternehmen veröffentlicht. Demnach mangelt es Unternehmen an Ressourcen, um Cybersecurity rund um die Uhr zu gewährleisten. Zudem sind Geschäftsführungen oft nicht bereit, ihre digitale Angriffsfläche zu erfassen und zu minimieren.

Konkret verfügen laut Trend Micro nur 33 Prozent der befragten deutschen Unternehmen über ausreichend Personal, um eine Cybersecurity rund um die Uhr an 365 Tagen im Jahr zu gewährleisten. Im weltweiten Vergleich sind es 36 Prozent.

Als weitere Schwachstelle stuft der Sicherheitsanbieter ein, dass nur 36 Prozent der Unternehmen hierzulande ein Angriffsflächen-Management betreiben, um ihr Cyberrisiko zu erfassen. In diesem Bereich liegt Deutschland einen Prozentpunkt über dem weltweiten Durchschnitt.

Nachholbedarf gibt es indes offenbar bei der Nutzung von Regelungen oder Rahmenwerken wie dem NIST Cybersecurity Framework. Hierzulande stützen sich lediglich 28 Prozent der Unternehmen solche Vorgaben – weltweit sind es 34 Prozent.

„Warum schafft es die Mehrheit der Unternehmen nicht, solche grundlegenden Cybersicherheitsmaßnahmen zu implementieren?“, kommentiert Trend Micro die Ergebnisse. „Das fehlende Gefühl von Zuständigkeit an der Spitze der Unternehmen könnte einen Erklärungsansatz liefern: Die Hälfte (50 Prozent) der deutschen Befragten (48 Prozent weltweit) gab an, dass ihre Geschäftsführungen Cybersecurity nicht als ihre Verantwortung betrachten. Nur 11 Prozent widersprechen dieser Aussage ganz und gar (17 Prozent weltweit).“

Gestrichene Flüge, ausgefallene Server und PCs, Unternehmen, die ihre Beschäftigten nach Hause schicken mussten – vor zwei Monaten, genauer gesagt am 19. Juli, ging vielerorts nichts mehr. Ein fehlerhaftes Update einer Cybersicherheitslösung des Unternehmens CrowdStrike hatte weltweit zu zahlreichen IT-Ausfällen geführt.

Welche Folgen die Panne für Unternehmen in Deutschland hatte, haben jetzt das Bundesamt für Sicherheit in der Informationstechnik, BSI, und der Digitalverband Bitkom in einer gemeinsamen Befragung von 331 von den Ausfällen betroffenen Unternehmen ermittelt. Die Untersuchung ist nicht repräsentativ, gibt aber ein aussagekräftiges Stimmungsbild.

62 Prozent der vom CrowdStrike-Desaster betroffenen Unternehmen litten unter direkten Folgen, wie dem Ausfall der eigenen PCs oder Server. 48 Prozent spürten indirekte Auswirkungen, weil zum Beispiel Zulieferer, Kunden oder Geschäftspartner betroffen waren. Knapp die Hälfte der direkt oder indirekt betroffenen Unternehmen (48 Prozent) musste daraufhin vorübergehend den Betrieb einstellen – im Schnitt für 10 Stunden.

Rund drei Viertel (73 Prozent) bezeichnen rückblickend die entstandenen Probleme und Störungen als gravierend für die deutsche Wirtschaft. Zugleich sind zwei Drittel (64 Prozent) mit Blick auf das eigene Unternehmen aber auch sicher: Ein solcher Vorfall lässt sich nicht vollständig verhindern.

Eingeschränkte Betriebsleistung

Bei den direkt betroffenen Unternehmen wurden im Schnitt 32 Prozent der PCs und Notebooks sowie 51 Prozent der Server in Mitleidenschaft gezogen. Dadurch kam es vor allem zu Systemabstürzen (83 Prozent), Anwendungen konnten nicht genutzt werden (64 Prozent) und Daten waren nicht verfügbar (58 Prozent).

Forscher des Sicherheitsanbieters Kaspersky haben eine neue Variante des Android-Trojaners Necro im Google Play Store aufgespürt. Die neue Version schaffte es der Analyse zufolge über den offiziellen Google-Marktplatz auf mehr als 11 Millionen Android-Geräte. Unter anderem ist der Trojaner in der Lage, beliebige Apps im Hintergrund zu installieren und sogar kostenpflichtige Abonnements im Namen eines Nutzers abzuschließen.

Für die Forscher ist Necro ein alter Bekannter: Bereits 2019 versteckte sich eine Version des Trojaners in einer App namens CamScanner und erreichte so mehr als 100 Millionen Downloads weltweit. Derzeit wird der Trojaner über infizierte Apps im Play Store sowie modifizierte Versionen von Spotify und Minecraft aus inoffiziellen Quellen verbreitet.

Im Play Store sind derzeit unter anderem Game Mods mit dem Necro-Trojaner infiziert. Die neue Version verfügt laut Kaspersky über neue Techniken, um einer Erkennung zu entgehen. Unter anderem sollen die Entwickler von Necro auf Steganografie setzen, um ihren Schadcode zu verbergen.

Zum Funktionsumfang von Necro gehört das Laden von sowie interagieren mit Werbeanzeigen in nicht sichtbaren Fenstern. Der Schädling öffnet aber auch Links in nicht sichtbaren WebView-Fenstern und führt darin JavaScript-Code aus. Außerdem kann er beliebige Dateien im DEX-Format herunterladen und ausführen.

Die Zahl von mehr als 11 Millionen infizierten Geräten bezieht sich Kaspersky zufolge ausschließlich auf über den Play Store getätigte Downloads. Die Opferzahl soll, da Necro auch über inoffizielle Quellen verteilt wird, deutlich höher sein. Angriffe mit Necro registrierte Kaspersky unter anderem in Russland, Brasilien, Spanien, Italien, der Türkei und Deutschland.

Der Sicherheitsanbieter Check Point hat eine neue Phishing-Kampagne aufgedeckt. Sie nutzt das Tool Google Apps Script aus, das zur Automatisierung von Aufgaben in Google-Anwendungen verwendet wird. In Phishing-E-Mails sollen Google Apps Script-URLs indes Opfer dazu verleiten, vertrauliche Daten preiszugeben. Check Point zufolge sind die Phishing-E-Mails auch in Deutschland im Umlauf.

„Google Apps Script-Makros sind ein ideales Ziel für Cyberkriminelle, weil sie Arbeitsabläufe automatisieren und sich in verschiedene Google-Dienste integrieren können“, teilte Check Point mit. Entsprechend weit gestreut seien die Angriffe: Die Kampagne umfasse etwa 360 E-Mails in mehreren Sprachen, darunter Deutsch, Englisch, Russisch, Chinesisch, Arabisch, Italienisch und Französisch. Die E-Mails gäben fälschlicherweise vor, eine Benutzerregistrierung per Klick auf einen Link abzuschließen, die vom Empfänger jedoch nie initiiert wurde.

In der Betreffzeile enthalten die Phishing-E-Mails der Analyse zufolge einen Link, der zu einer Google Apps Script-Seite führt. Die URL wiederum führt zu einem angeblich „sicheren und vertrauenswürdigen“ Zahlungsdienst. „Da Google-Dienste und dementsprechend die zugehörigen URLs von Browsern und E-Mail-Diensten jedoch als legitim eingestuft werden, können Nutzer schnell geneigt sein, vertrauliche Informationen preiszugeben“, ergänzte Check Point.

Check Point rät Nutzern, auf E-Mails mit Betreffzeilen zu achten, die „Kontodaten“ für Registrierungen liefern, die man nie initiiert hat. Auch URLs, die „script.google.com“ enthalten und Benutzer auf Seiten leiten, die zur Eingabe persönlicher Daten auffordern, seien ein Warnsignal.

Google hat die Sicherheitsfunktion Passkeys, die eine passwortlose Anmeldung bei Websites und Apps ermöglicht, überarbeitet. Passkeys lassen sich künftig auch auf Windows, macOS und Linux im Google Passwortmanager speichern, was eine unkomplizierte geräteübergreifende Nutzung im Browser Chrome ermöglicht.

Bisher erfolgte eine Speicherung im Google Passwortmanager ausschließlich auf Android-Geräten. Zur Verwendung eines gespeicherten Passkeys zur Anmeldung auf einem anderen Gerät, musste ein dort erzeugter QR-Code mit dem Android-Smartphone- oder Tablet gescannt werden. Dieser Schritt fällt künftig weg beziehungsweise wird durch die Synchronisierung gespeicherter Passkeys über den Google Passwortmanager ersetzt.

Darüber hinaus führt Google eine neue PIN für seinen Passwortmanager ein. „Diese PIN bietet eine zusätzliche Sicherheitsebene, um sicherzustellen, dass eure Passkeys durchgehend verschlüsselt sind und niemand darauf zugreifen kann“, teilte das Unternehmen mit. Zur Verwendung eines synchronisierten Passkeys auf einem neuen Gerät muss dann entweder die neue Pin oder die Displaysperre des Android-Geräts eingegeben werden.

Passkeys sind Passwörtern überlegen, da jeder Passkey aus zwei kryptografischen Schlüsseln besteht: einem öffentlichen Schlüssel, der bei dem Online-Dienst oder der App registriert ist, und einem privaten Schlüssel, der auf einem Gerät wie einem Smartphone oder Computer gespeichert ist. Statt eine Passwort bei der Anmeldung einzugeben, erfolgt die Authentifizierung per Passkey mit einer PIN oder einem biometrischen Merkmal wie Gesicht oder Fingerabdruck. Ein Konto bleibt auch dann sicher, wenn ein Hacker den öffentlichen Schlüssel einer Website erlangt, da er keinen Zugriff auf den privaten Schlüssel auf dem Gerät eines Nutzers hat.

Bei den Vergleichsportalen Verivox und Check24 gab es gravierende Sicherheitslücken, über die Unbefugte Zugriff auf vertrauliche Kundendaten hatten. Wie Correctiv berichtet, wurden die Schwachstellen von einem nicht näher genannten Sicherheitsforscher entdeckt, der über den Chaos Computer Club die beiden Unternehmen informierte. Demnach wurden die Datenlecks inzwischen geschlossen.

Im Gespräch mit Correctiv erklärte der Forscher, er sei über die Sicherheitslücken „gestolpert“, zuerst bei Check24 und später bei Verivox. Der Fehler sei zudem „trivial“. „Was diese beiden Sicherheitslücken für mich besonders gravierend macht, ist der stümperhafte Umgang mit Daten von Kundinnen und Kunden“, wird der IT-Experte in dem Bericht zitiert.

Der Fehler trat beim Kreditvergleich der beiden Portale auf. Auch war eine Registrierung nicht notwendig – bereits ein als Gast angemeldeter Nutzer hatte Zugriff auf Daten anderer Kunden. Dem Bericht zufolge musste lediglich eine Nummer am Ende der URL des eigenen Kreditvergleichs hoch- oder runtergezählt werden, um den Kreditvergleich eines anderen Kunden abrufen zu können.

Ein solcher Kreditvergleich erhält unter anderem Daten wie Namen und Anschriften, Einkommen, Zahl der Kinder und Details zum Arbeitsverhältnis. Bei Check24 waren der Abruf der Daten durch ein Passwort geschützt – allerdings nutzte Check24 dasselbe Passwort für alle Kunden. Verivox verzichtete indes auf ein Kennwort.

Beide Unternehmen räumten die Sicherheitslücken gegenüber Correctiv ein. Ihren Stellungnahmen zufolge wurden die Fehler kurzfristig behoben. Zur Zahl der möglicherweise Betroffenen machten beide Portale keine Angaben.

Im ersten Halbjahr 2024 ist der Anteil der Hackerangriffe auf Fertigungsbetriebe und Industrieunternehmen auf 41 Prozent des Gesamtangriffsvolumens gestiegen. Das geht aus der aktuellen Ausgabe des Threat Intelligence Report des Sicherheitsanbieters Ontinue hervor. Im Vorjahr lag der Anteil noch bei 20 Prozent. Das entspricht einem Anstieg um 105 Prozent in diesen Wirtschaftssektoren.

Demgegenüber steht Ontinue zufolge ein bemerkenswerter Rückgang der Cyberattacken auf den Tech- und IT-Services-Sektor. Die Experten Unternehmens schreiben dies einer verbesserten Reife der Cybersecurity-Maßnahmen der Tech- und IT-Unternehmen zu.

Der Bericht weist auch auf eine deutliche Zunahme der von China ausgehenden Cyber-Operationen hin. Grund dafür seien vermutlich die anhaltende Umstrukturierung des Militärs und der Cyberstreitkräfte des Landes. Diese staatlich gesponserten Kampagnen konzentrierten sich zunehmend auf die Informationskontrolle und nutzten Zero-Day-Exploits, was die Zuordnung weiter erschwere und die globale Bedrohungslage eskalieren lasse.

Ontinue kritisiert zudem ein schwerfälliges Patch-Management. „Allein im ersten Quartal 2024 wurden 8967 CVEs (Common Vulnerabilities and Exposures) veröffentlicht, weitere 13.400 stehen noch zur Publikation aus“, teilte das Unternehmen mit. „Dennoch hinken viele Unternehmen bei der Installation von Patches hinterher, was sie anfällig für Angriffe macht, die bekannte Schwachstellen ausnutzen. Alarmierend ist, dass fünf der zehn wichtigsten Sicherheitslücken in diesem Jahr aus dem Jahr 2023 stammen. Dies zeigt, dass es für Unternehmen immer schwieriger wird, mit neuen Bedrohungen Schritt zu halten.“

Das größte Schadenspotenzial für die meisten Unternehmen gehe nach wie vor von Ransomware aus, so Ontinue weiter. Daran werde sich in absehbarer Zeit wohl auch nichts ändern. „Besonders Hackerkollektive wie Lockbit, die sich auf diese Angriffsart spezialisiert haben, gehören zu den gefährlichsten und erfolgreichsten Cyberkriminellen. Sie rufen neue Akteure wie die Hunters International auf den Plan, die die Bedrohungslage verschärfen. Auch die Gruppe Clop wird aller Voraussicht nach im Laufe des Jahres wieder mit neuen Angriffswellen durchstarten.“

Microsoft hat die September-Updates für Windows, Office und andere Produkte freigegeben. Der Patchday beseitigt insgesamt 79 Schwachstellen, von denen sieben als kritisch eingestuft sind. Darüber hinaus gibt es insgesamt fünf Zero-Day-Lücken, wobei Anfälligkeiten bereits aktiv von Cyberkriminellen ausgenutzt werden.

Als besonders schwerwiegend gilt eine kritische Lücke in Windows Update, die laut Microsoft bereits ausgenutzt wird. Das Unternehmen beschreibt die Anfälligkeit mit der Kennung CVE-2024-43491 als Use-after-free-Bug im Servicing Stack. Unbefugte sind in der Lage, bestimmte Sicherheitsupdates zu entfernen, die bis einschließlich August 2024 veröffentlicht wurden, um Systeme angreifbar zu machen.

Allerdings sind ausschließlich ältere Systeme von Windows 10 betroffen, und zwar Version 1507, die noch als Windows 10 Enterprise 2015 LTSB und Windows 10 IoT Enterprise 2015 LTSB unterstützt wird. Bei diesen Systemen muss zuerst das Servicing-Stack-Update KB5043936 und anschließend das September-Sicherheitsupdate KB5043083 installiert werden, um das Loch zu stopfen.

Als kritisch stuft Microsoft außerdem Anfälligkeiten im Azure Stack Hub, den Azure Web Apps, SharePoint Server und Windows NAT ein. Sie erlauben unter Umständen das Einschleusen und Ausführen von Schadcode aus der Ferne, und zwar bei allen unterstützten Versionen von Windows 10, 11 und Windows Server.

Weitere Löcher werden in Windows TCP/IP, SQL Server, Windows Installer, PowerShell, Mark of the Web, Dynamics, Windows-Netzwerkvirtualisierung, Microsoft-Streaming-Dienst, Microsoft-Grafikkomponente und im Remotedesktop-Lizensierungsdienst gestopft. Außerdem sind die MSHTML-Plattform, Visio, Excel, SharePoint, Power Automate, Outlook für iOS und das Windows Admin Center angreifbar.

Check Point hat sein monatliches Malware-Ranking aktualisiert. Mit einem Anteil von 17,9 Prozent war CloudEye im August die Top-Malware in Deutschland. Der Windows-Downloader wird von Cyberkriminellen genutzt, um weitere schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren.

Das Bot-Netz Androxgh0st landete mit einem deutlichen Abstand (Anteil 4,36 Prozent) auf dem zweiten Platz. Die Malware funktioniert unter Windows, macOS und Linux und verbreitet sich über bekannte Schwachstellen. Sie stiehlt vertrauliche Daten wie AWS-Schlüssel und Anmelde- und Kontoinformationen.

Der Global Threat Index für August zeigt auch, dass Ransomware weiterhin eine dominierende Kraft ist, wobei RansomHub seine Position als führende Ransomware-Gruppe beibehält. Diese Ransomware-as-a-Service (RaaS)-Operation hat sich seit ihrer Umbenennung von Knight-Ransomware rasch ausgebreitet und weltweit über 210 Opfer angegriffen. Zudem ist eine neue Bedrohung aufgetaucht: Meow Ransomware, die sich zuvor auf die Verschlüsselung von Daten fokussierte und nun ihre Aktivität auf den Verkauf gestohlener Daten auf Leak-Marktplätzen verlagert.

„Das Auftauchen von RansomHub als Top-Ransomware-Bedrohung im August unterstreicht die zunehmende Raffinesse von Ransomware-as-a-Service-Operationen“, sagte Maya Horowitz, Vice President of Research bei Check Point Software. „Der Aufstieg von Meow Ransomware unterstreicht die Verlagerung hin zu Marktplätzen für Datenlecks und signalisiert eine neue Methode der Monetarisierung für Ransomware-Betreiber, bei der gestohlene Daten zunehmend an Dritte verkauft werden, anstatt sie einfach online zu veröffentlichen. Da sich diese Bedrohungen weiterentwickeln, müssen Unternehmen wachsam bleiben, proaktive Sicherheitsmaßnahmen ergreifen und ihre Abwehr gegen immer raffiniertere Angriffe kontinuierlich stärken.“

Das Risiko eines Internetnutzers, Opfer eines erfolgreichen Online-Betrugs zu werden, bleibt hoch. Der im Mai 2024 erschienene Cybersicherheitsmonitor des BSI spricht hier eine deutliche Sprache: 44 Prozent aller Deutschen, die im vergangenen Jahr Opfer einer Straftat im Internet wurden, hatten es dabei mit mindestens einer Variante von Online-Betrug zu tun.

Online-Scams sind für Cyberkriminelle zu einem äußerst lukrativen Geschäft geworden. Längst geht es dabei nicht mehr allein um den Versand von Fake-E-Mails oder die Angabe falscher Daten bei Online-Händlern. Das Feld der Online-Betrüger ist komplexer und vielseitiger geworden, ob Banking-Scams, Romance-Scams, Travel Scams und zahlreiche weitere Online-Betrugsvarianten. In diesem Frühjahr scheint mit Funeral Scams eine neue Variante hinzugekommen zu sein.

Suche nach Beerdigung-Posts

Cyber-Experten der Malwarebytes Labs haben auf Facebook diese neue Betrugsmasche ausgemacht, über deren Auftreten in Großbritannien schon mehrfach die BBC berichtet hat. Ziel der Angreifer ist es, ihre Opfer zur Übergabe einer ‚Gebühr‘ oder einer ‚Spende‘ – also einer Geldsumme – oder gleich ihrer Kreditkartendaten zu bewegen Hierzu gehen sie folgendermaßen vor:

Zunächst suchen sie auf Facebook nach Posts, in denen von einer Beerdigung die Rede ist. Dann warten sie ab, bis ein Bestattungsunternehmen eine offizielle Nachricht zum Verstorbenen postet. Hat das Bestattungsinstitut den Post abgesetzt, platzieren sie innerhalb kürzester Zeit direkt darunter einen Kommentar. Der sieht dann so aus, als ob er vom Bestattungsunternehmen selbst stammen würde. Um die Glaubwürdigkeit des Posts zu erhöhen, statten sie diesen häufig noch mit Fotos und persönlichen Daten des oder der Verstorbenen aus.

Unterschiedliche Kommentar-Varianten sind bereits im Umlauf. Weitere werden sicherlich schon bald hinzukommen. In einem wird zu einer Spende für die Hinterbliebenen aufgerufen. In einem anderen wird Freunden und Verwandten des oder der Verstobenen die Hinzuschaltung zu einem Live-Stream von der Trauerfeier angeboten. Allen gemein ist, dass die Leser der Kommentare am Ende immer aufgefordert werden, den Kommentar zu teilen und so ihre privaten Kontakte auf den Spendenaufruf beziehungsweise den Live-Stream aufmerksam zu machen.

Malwarebytes hat eine neue Version der Mac-Malware Atomic Stealer (AMOS) entdeckt, die nun unter anderem auch den Arc-Webbrowser und Google Chrome Canary ins Visier nimmt. Ziel von Atomic Stealer ist es, wertvolle Informationen von infizierten Computern zu stehlen, zum Beispiel in Browsern gespeicherte Anmeldedaten, Kreditkartendaten, Passwörter oder Kryptowährungen.

Die als auf macOS ausgerichtete Schadsoftware ist seit April 2023 im Umlauf und wird als Malware-as-a-Service angeboten. Malwarebytes stuft sie als sehr aktiv ein. Laut der Analyse der Sicherheitsforscher ist Atomic Stealer in etwas mehr als einem Jahr zur dritthäufigsten Malware auf Macs aufgestiegen. Im Jahr 2024 war sie für neun Prozent der Entdeckungen von macOS-Malware verantwortlich.

„Bis vor Kurzem handelte es sich bei macOS-Bedrohungen hauptsächlich um Adware und Kryptowährungen, während sich Ransomware nie wirklich durchsetzen konnte. Mit dem Aufkommen neuer Stealer wie AMOS hat sich die Bedrohungslandschaft jedoch grundlegend verändert“, sagte Marcelo Rivero, Senior Malware Research Engineer für den Mac-Schutz bei Malwarebytes. „Atomic Stealer hat sich zum hartnäckigsten und am schnellsten entwickelnden macOS-Stealer entwickelt – mit Affiliate-getriebenen Verbreitungskampagnen und kontinuierlichen Funktionsupdates. Das macht ihn aktuell zum beliebtesten Malware-as-a-Service auf macOS.“

Die neue Version von Atomic Stealer ist nun in der Lage, die Kryptowallets Ledger Live und Wasabi anzugreifen. Darüber hinaus kann der Stealer nicht nur Daten aus allen großen Browsern abziehen, sondern auch aus mehr als 100 Browser-Erweiterungen.

DodgeBox ist ein in C geschriebener Dynamic Link Library (DLL)-Loader, der eine neue Backdoor-Malware namens MoonWalk lädt. Vom Konzept her weist er klare Ähnlichkeiten mit StealthVector auf, enthält jedoch erhebliche Verbesserungen in der Implementierung. MoonWalk seinerseits nutzt viele der in DodgeBox implementierten Umgehungstechniken und verwendet Google Drive für die Command and Control-Kommunikation (C2).

Angriffskette

Im Rahmen eines Angriffes über DodgeBox wird DLL-Sideloading als Mittel zur Ausführung eingesetzt. Dafür wird eine legitime ausführbare Datei (taskhost.exe) verwendet, um eine bösartige DLL (sbiedll.dll) per Sideloading zu laden. Diese schädliche DLL dient als Loader und ist für die Entschlüsselung einer nachgelagerten Payload aus einer DAT-Datei (sbiedll.dat) verantwortlich. Die entschlüsselte Payload namens MoonWalk fungiert als Backdoor, die Google Drive für die Command and Control-Kommunikation (C2) missbraucht.

In der letzten Phase der Angriffskette beginnt DodgeBox mit dem Entschlüsselungsprozess der MoonWalk Payload-Datei. Dabei werden zuerst die ersten vier Bytes der Datei untersucht. Wenn diese Bytes ungleich null sind, bedeutet das, dass die DAT-Datei einem bestimmten System zugeordnet ist. Wenn jedoch die DAT-Datei nicht Maschinen-spezifisch vergeben ist, beginnt Dodgebox mit der Entschlüsselung durch AES-CFB und setzt dafür Parameter ein, die in der Konfigurationsdatei vorgehalten werden. In den Malware-Samplen, die von ThreatLabz analysiert wurden, korrespondiert das entschlüsselte DAT-File mit der MoonWalk Backdoor.

MoonWalk weist Ähnlichkeiten mit DodgeBox auf

MoonWalk ist eine ebenfalls in C geschriebene Malware-Backdoor, die viele Code-Ähnlichkeiten mit DodgeBox aufweist, was auf ein gemeinsames Entwicklungstoolkit schließen lässt. Auch sie enthält ähnliche Umgehungsfunktionen wie DodgeBox, darunter:

Außerdem verwendet MoonWalk die gleiche DLL-Blockierliste wie DodgeBox. MoonWalk stellt daher eine neue Ebene der Bedrohung dar. Sie verwendet Google Drive für die C2-Kommunikation, wodurch sie sich in den legitimen Netzwerkverkehr einfügt und schwer zu entdecken ist. Darüber hinaus nutzt MoonWalk innovative Techniken wie die Manipulation von Windows Fibers, um Antiviren- und EDR-Lösungen (Endpoint Detection and Response-Lösungen) zu umgehen. Diese Techniken machen MoonWalk zu einer der komplexesten Backdoors, die bisher entdeckt wurden. Das modulare Design von MoonWalk ermöglicht es Angreifenden, die Funktionalität der Backdoor schnell an unterschiedliche Anforderungen anzupassen. Diese Flexibilität stellt eine erhebliche Herausforderung für Sicherheitsforscher und Blue Teams dar, die sich mit dieser sich ständig weiterentwickelnden Bedrohung auseinandersetzen müssen.

Vor allem junge Gamer geraten verstärkt in das Visier von Cyberkriminellen. Dies zeigen die Ergebnisse einer aktuellen Kaspersky-Analyse, nach der die Anzahl von Cyberangriffen auf Nutzer, bei denen Cyberkriminelle vor allem bei Kindern beliebte Games ausnutzen, zwischen Januar und Juni 2024 im Vergleich zum zweiten Halbjahr 2023 um 30 Prozent auf über 132.000 Nutzer weltweit angestiegen ist. Das Problem: Durch den Einsatz Künstlicher Intelligenz (KI) wird der Zugang zu Templates für ausgeklügelte Phishing-Webseiten erleichtert, um Nutzer etwa mit Spiele-Items, berühmten Vorbildern oder Fake-Umfragen in die Falle zu locken.

Von den 18 untersuchten Spielen geriet das Sandbox-Game Minecraft mit über drei Millionen Angriffsversuchen am häufigsten in das Visier von Cyberkriminellen, gefolgt vom Spielebaukasten Roblox, noch vor dem Survival-Koopspiel Among Us.

Angreifer nutzen Cheats und Mods sowie Phishing-Templates mit KI

Die Kaspersky-Experten gehen davon aus, dass die Cyberkriminellen ihre Ziele sowohl anhand ihrer Beliebtheit auswählen als auch dahingehend, inwiefern sie Cheats und Mods unterstützen. Letztere werden meistens über Webseiten von Drittanbietern verbreitet, die die Angreifer zur Tarnung ihrer Malware missbrauchen.

Zudem vermuten die Forscher, dass der im Jahr 2024 beobachtete Anstieg sich einerseits mit der generellen Tendenz zu hinterhältigeren Attacken unter Ausnutzung angesagter Trends und weniger offensichtlicher Schemata erklären lässt. Andererseits nutzen Cyberkriminelle für automatisierte und personalisierte Phishing-Angriffe verstärkt KI, womit sie junge Spieler eher täuschen können.

Gleichzeitig erscheinen im Darknet regelmäßig neue, mithilfe von automatisierten Tools erstellte fortschrittliche Kits bestehend aus vorgefertigten Vorlagen für Phishing-Webseiten. Diese erlauben einer immer größeren Zahl von Angreifern hocheffektive Phishing-Webseiten einzusetzen, die beliebte Gaming-Plattformen imitieren.

Adobe hat Sicherheitsupdates für seine PDF-Anwendungen veröffentlicht. Sie beseitigen insgesamt zwölf Anfälligkeiten. Acht Schwachstellen stuft das Unternehmen als kritisch ein, von vier Bugs geht ein hohes Sicherheitsrisiko aus. Ein Angreifer kann unter Umständen aus der Ferne Schadcode einschleusen und ausführen.

Als kritisch gelten unter anderem fünf Use-after-free-Bugs. Sie haben einen CVSS-Score von bis zu 8,1 von 10 möglichen Punkten. Zudem korrigieren die Entwickler einen Fehler, der zu einer fehlerhaften Überprüfung von digitalen Signaturen führt – was wiederum eine nicht autorisierte Ausweitung von Benutzerrechten erlaubt. Um die Sicherheitslücken auszunutzen, muss ein Angreifer in der Regel ein Opfer lediglich dazu verleiten, eine speziell gestalte PDF-Datei zu öffnen.

Betroffen sind Acrobat DC und Reader DC in den Versionen 24.002.20991 und früher für Windows sowie 24.002.20964 für macOS. Außerdem sind Acrobat Classic 2024, Acrobat Classic 2020 und Reader Classic 2020 angreifbar.

Nutzer sollten nun zeitnah auf die fehlerbereinigten Versionen der PDF-Anwendungen umsteigen. Adobe verteilt bereits Acrobat DC und Reader DC 24.0002.21005 für Windows und macOS sowie Acrobat Classic 2024 Version 24.001.30159 für Windows und macOS und Acrobat 2020 und Reader 2020 Version 20.005.30655 für Windows und macOS.