Was Sicherheitsexperten derzeit den Schlaf raubt

Woche 41: Auch Banking-Trojaner mögen Selfies

Uhr
von Coen Kaat

Locky dominiert den Mailverkehr, DDoS-Tool wird Open Source und das Ranking vom Oktober-Patch-Day. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

Auf Github ist diese Woche der Quellcode für ein Tool veröffentlicht worden. Eigentlich nichts Spektakuläres. Nur handelt es sich hierbei um den Quellcode für Mirai, wie Techcrunch berichtet. Das Tool ermöglicht es dem Nutzer, massive DDoS-Attacken zu lancieren. Das Tool steckte vermutlich hinter den rekordverdächtigen Angriffen auf Brian Krebs und OVH von Mitte September.

Der Code wurde entwickelt, um auf Netzwerkkameras und anderen vernetzten Geräten zu laufen. So holt sich Mirai die nötige Bandbreite für die DDoS-Attacken. Sonderlich raffiniert geht das Tool dabei nicht vor. Um Zugriff auf die Geräte zu erlangen, rattert das Tool nach dem Brute-Force-Prinzip einfach eine Liste der üblichen Passwörter runter: 12345, default, admin, password, etc. Dies geht aus einer Analyse von Imperva Incapsula hervor.

Die Sicherheitsexperten entdeckten Mirais Spuren in ihrem Netzwerk. Die stärksten Attacken hatten Angriffsbandbreiten von rund 280 Gigabit pro Sekunde. Zudem fanden sie 49'657 IP-Adressen von infizierten vernetzten Geräten. Diese waren auf 164 Länder verteilt.

Wie Techcrunch schreibt, bietet die Veröffentlichung des Quellcodes Forschern einen interessanten Einblick – aber leider gilt dies auch für Cyberkriminelle in spe.

 

Locky – fast nur noch Locky

Proofpoint hat einen Bericht zur Bedrohungslage im dritten Quartal des laufenden Jahres veröffentlicht. Die Sicherheitsexperten registrierten Milliarden von infizierten Nachrichten pro Tag. Ein Rekord, wie Proofpoint mitteilt. Besonders die E-Mails, die auf bösartige Javascript-Anhänge setzen, legten stark zu. Das Unternehmen stellte einen Anstieg von 69 Prozent gegenüber dem Vorquartal fest.

Locky dominiert die Szene. Die Ransomware wurde im ersten Quartal 2016 entdeckt. 64 Prozent des infizierten Mailverkehrs verteilten die Malware. Im zweiten Quartal fiel die Rate auf 28 Prozent. Im dritten Quartal schlug Locky aber wieder zu. 97 Prozent der über Mailanhänge verbreiteten Schadprogramme waren Varianten von Locky.

Bei Ransomware, die über Exploit-Kits verbreitet wird, hatte Cryptxxx die Nase vorn. Die Erpresser-Malware tauchte gemäss dem Bericht auch in einer Spam-Kampagne auf. Im Vergleich zum vierten Quartal 2015 steigerte die Artenvielfalt in diesem Bereich um das zehnfache.

Die Exploit-Kit-Aktivitäten nahmen jedoch stark ab. Im Vergleich zum Vorquartal um 65 Prozent. Gegenüber dem ersten Quartal des Jahres sogar um 93 Prozent. Das populärste Exploit Kit im dritten Quartal war gemäss Proofpoint RIG. Den vollständigen Bericht bietet das Unternehmen online als PDF an.

 

54 Patches für 21 Bugs

Jeweils am zweiten und manchmal auch am vierten Dienstag im Monat ist Patchday. Der Begriff geht zwar auf Microsoft zurück. Mittlerweile veröffentlichen aber auch andere namhafte Unternehmen an diesen Tagen ihre Patches. Diese Woche war es wieder soweit. Die Redaktion warf einen Blick auf die Ausbeute.

Der Platzhirsch im Patch-Geschäft ist Adobe. Und auch diesen Monat veröffentlichte das Unternehmen wieder eine Rekordverdächtige Anzahl an Patches, wie The Register berichtet. 71 Stück. Damit schloss das Unternehmen 71 Sicherheitslücken.

Google hingegen brauchte 54 Patches um 21 Bugs zu beheben, wie The Register schreibt. Microsoft änderte derweil seine Strategie. Das Unternehmen bündelt künftig seine Patches in kumulativen Rollup-Paketen. Diesen Monat behob das Unternehmen insgesamt 10 Lücken gemäss Heise.

Eine spezielle Erwähnung verdient SAP. Laut The Register behob das deutsche Softwarehaus eine kritische Sicherheitslücke – nachdem diese drei Jahre ohne Patch blieb.

 

Und da wird keiner stutzig?

Den Sicherheitsexperten von McAfee ist ein besonders dreister mobile Banking Trojaner ins Netz gegangen, wie das Unternehmen mitteilt. Malware dieser Art versucht schon seit längerem mit Sicherheitsfragen den Anschein von Legitimität zu erwecken. Unlängst entdeckte das Sicherheitsunternehmen jedoch eine neue Variante des Trojaners Acecard, die noch einen Schritt weitergeht.

Die Malware wird auch Torec genannt, da sie über das Tor-Netzwerk mit dem Command-and-Control-Server kommuniziert. Sie gibt vor, eine Porno-Video-App zu sein und kommt so auf die Smartphones ihrer Opfer.

Die Malware gaukelt dem Nutzer eines infizierten Geräts vor, er befinde sich im Google Play Store. Es erscheint eine Aufforderung an den Benutzer, seine Kreditkartendaten einzugeben – inklusive Personalien, Telefonnummer, Ablaufdaten und Geheimnummer. Sofern der Kartentyp eine Zwei-Faktor-Authentifizierung unterstützt, wird auch diese verwendet.

Anschliessend soll das Opfer noch ordentliche und lesbare Fotos eines amtlichen Ausweises hochladen um seine Identität zu bestätigen. Von der Vorder- und der Rückseite. Der Trojaner akzeptiert einen Pass, eine ID oder auch den Führerschein. Aber damit ist es noch nicht getan. Die Malware will auch noch ein Selfie vom Benutzer mit seinem Ausweis.

Der Banking Trojaner ist gemäss der Mitteilung zwar nur in Hong Kong und neu auch in Singapur unterwegs. Die Sicherheitsexperten empfehlen dennoch den Lesern auch auf dem Smartphone Security-Software zu verwenden und keine Apps von nicht vertrauenswürdigen Quellen herunterzuladen.

Die Redaktion empfiehlt zudem noch dies: ein Bisschen gesunden Menschenverstand. Das schadet nie.

Webcode
DPF8_9449