Cyberkriminelle waren recht aktiv bei der Entwicklung neuer Malware Proben und die Verbesserung ihrer böswilligen Ansätze. Laut PurpleSec-Statistik, Cyberkriminalität überall 2021 war auf 600% aufgrund der COVID-19-Pandemie.
Infolge, Cybersicherheitsforscher haben einige neue analysiert, bisher ungesehene Malware-Teile. Wir haben ausgewählt 10 neue Bedrohungen mit verschiedenen Fähigkeiten, die in den letzten Monaten in freier Wildbahn entdeckt wurden, Ausrichtung auf Android, Mac OS, Fenster, und Linux:
- Zwei neue Malware-Loader: Wslink und EichhörnchenWaffel;
- Ein Linux-Rootkit, namens FontOnLake/HCRootkit;
- Zwei Android-Banking-Trojaner: GriftHorse und Ermac;
- Zwei raffinierte Hintertüren: FoggyWeb und Solarmarker;
- Die Meris DDoS Botnet;
- Die LockFile-Ransomware, die eine einzigartige Verschlüsselung verwendet;
- Das erkannte in 2020 XCSSET Mac-Malware, jetzt mit neuen Funktionen aktualisiert.
Haftungsausschluss: Die in diesem Artikel aufgeführten Cyber-Bedrohungen sind ein kleiner Teil der gesamten Malware, die in 2021. unsere Top 10 Auswahl von 2021 Malware ist nur ein Beispiel für die sich ständig weiterentwickelnde Bedrohungslandschaft.
Wslink Malware Loader
Im Oktober wurde ein bisher unbekannter Malware-Loader entdeckt, 2021. Namens Wslink, das Tool ist „einfach, aber bemerkenswert,” kann bösartige Windows-Binärdateien laden. Der Lader wurde bei Angriffen gegen Mitteleuropa eingesetzt, Nordamerika, und der Nahe Osten.
Einzigartig an diesem bisher undokumentierten Loader ist seine Fähigkeit, als Server zu laufen und empfangene Module im Speicher auszuführen. Laut dem von ESET-Forschern erstellten Bericht, der anfängliche Kompromissvektor ist ebenfalls unbekannt. Die Forscher konnten keines der Module erhalten, die der Lader erhalten soll. Kein Code, Funktions- oder Betriebsähnlichkeiten deuten darauf hin, dass der Loader von einem bekannten Bedrohungsakteur codiert wurde.
SquirrelWaffle Malware Loader
Im Oktober tauchte ein weiterer Malware-Loader auf 2021, mit dem Potenzial, „das nächste große Ding“ im Spam-Betrieb zu werden. synchronisiert EichhörnchenWaffel, die Bedrohung ist „mal-Spamming“ von bösartigen Microsoft Office-Dokumenten. Das Endziel der Kampagne ist die Verbreitung der bekannten Qakbot-Malware, sowie Cobalt Strike. Dies sind zwei der häufigsten Übeltäter, mit denen Organisationen weltweit ins Visier genommen werden.
Laut Cisco Talos-Forscher Edmund Brumaghin, Mariano Graziano und Nick Mavis, „SquirrelWaffle bietet Bedrohungsakteuren einen ersten Zugang zu Systemen und deren Netzwerkumgebungen.“ Dieser Halt kann später genutzt werden, um weitere Kompromittierungen und Malware-Infektionen zu erleichtern, abhängig von den Monetarisierungspräferenzen der Hacker.
„Organisationen sollten sich dieser Bedrohung bewusst sein“, da es wahrscheinlich auf absehbare Zeit in der gesamten Bedrohungslandschaft bestehen wird,“Sagten die Forscher. Eine frühere Bedrohung des gleichen Kalibers ist Emotet, was Organisationen seit Jahren plagt. Da der Emotet-Betrieb durch die Strafverfolgung unterbrochen wurde, Sicherheitsforscher haben auf den Aufstieg eines neuen ähnlichen Spielers gewartet. Und es hat…
FontOnLake/HCRootkit Linux-Rootkit
FontOnLake / HCRootkit ist ein neuer, bisher unbekannte Malware-Familie, die auf Linux-Systeme abzielt. Von ESET-Forschern als FontOnLake bezeichnet, und HCRootkit von Avast und Lacework, die Malware hat Rootkit-Fähigkeiten, fortschrittliches Design und niedrige Prävalenz, was darauf hindeutet, dass es in erster Linie für gezielte Angriffe gedacht ist.
Laut den Forschern, das FontOnLake Rootkit wird ständig mit neuen Features aktualisiert, das heißt, es befindet sich in aktiver Entwicklung, und es ist sehr wahrscheinlich, dass es weiterhin verwendet wird in 2022. VirusTotal-Beispiele der Malware zeigen, dass ihr erster Einsatz in freier Wildbahn auf den Mai zurückgeht 2020. Es scheint, dass die Malware auf Unternehmen in Südostasien abzielt, aber andere Regionen könnten bald zu seiner Zielliste hinzugefügt werden.
Die Malware gewährt ihren Betreibern Fernzugriff, und könnte zum Sammeln von Anmeldeinformationen und als Proxy-Server verwendet werden.
GriftHorse Android-Trojaner
Ein schändlicher Android-Trojaner, namens GriftPferd und versteckt in einer aggressiven Kampagne für mobile Premiumdienste hat Hunderte Millionen Euro gestohlen. Die Entdeckung stammt von Zimperium zLabs-Forschern, die entdeckten, dass der Trojaner bösartige Android-Anwendungen verwendet hat, um Benutzerinteraktionen für eine größere Reichweite und Infektion zu nutzen.
„Diese bösartigen Android-Anwendungen erscheinen harmlos, wenn man sich die Store-Beschreibung und die angeforderten Berechtigungen ansieht, Aber dieses falsche Vertrauensgefühl ändert sich, wenn Benutzern Monat für Monat für den Premium-Dienst, den sie ohne ihr Wissen und ihre Zustimmung abonniert haben, in Rechnung gestellt werden,“ enthüllte der Bericht.
Forensische Beweise deuten darauf hin, dass der Bedrohungsakteur von GriftHorse seine Operation seit November durchführt 2020. Nicht überraschend, die beteiligten bösartigen Android-Apps wurden über Google Play verbreitet, aber auch App-Stores von Drittanbietern wurden genutzt. Nach einer Offenlegung an Google, das Unternehmen hat die schädlichen Apps aus dem Play Store entfernt. Die schlechte Nachricht ist, dass die Apps zum Zeitpunkt des ursprünglichen Berichts noch in App-Repositorys von Drittanbietern zum Download verfügbar waren (September 2021).
Ermac Android-Trojaner
ERMAC ist ein anderer, bisher unentdeckter Android-Banking-Trojaner im September entdeckt 2021. Die Malware scheint von den Cyberkriminellen von BlackRock geprägt zu sein und basiert auf den Wurzeln des berüchtigten Cerberus.
„Wenn wir nachforschen ERMAC, Wir können herausfinden, dass ERMAC ein code-weiser Erbe der bekannten Malware Cerberus ist. Es verwendet fast identische Datenstrukturen bei der Kommunikation mit dem C2, es verwendet die gleichen String-Daten, und so weiter,“ sagte ThreatFabric. Der erste Eindruck der Forscher war, dass der neue Trojaner eine weitere Variante von Cerberus ist. Trotz eines anderen Namens und der Verwendung anderer Verschleierungstechniken und einer neuen String-Verschlüsselung, ERMAC ist ein weiterer auf Cerberus basierender Trojaner.
Der Unterschied zum ursprünglichen Cerberus besteht darin, dass ERMAC bei der Kommunikation mit dem Command-and-Control-Server ein anderes Verschlüsselungsschema verwendet. Die Daten werden mit AES-128-CBC verschlüsselt, und mit vorangestelltem Doppelwort, das die Länge der codierten Daten enthält, so der Bericht.
Ein eindeutiger Zusammenhang mit den BlackRock-Malware-Betreibern ist die Verwendung derselben IP-Adresse als Command-and-Control.
FoggyWeb Post-Exploitation Backdoor
Eine neue Hintertür in freier Wildbahn, die dem NOBELIUM-Bedrohungsakteur zugeschrieben wird, vermutlich hinter der SUNBURST-Hintertür stecken, TEARDROP-Malware, und „verwandte Komponenten“.
Laut Microsoft Threat Intelligence Center (MSTIC), die sogenannte Nebelweb ist eine Hintertür nach der Ausbeutung. Der NOBELIUM-Bedrohungsakteur verwendet mehrere Techniken, um den Diebstahl von Anmeldeinformationen durchzuführen. Sein derzeitiges Ziel besteht darin, Zugriff auf Administratorebene auf Active Directory-Verbunddienste zu erhalten (AD FS) Server.
Die Hintertür wird auch als „passiv“ und „sehr gezielt“ beschrieben,” mit ausgeklügelten Datenexfiltrationsfunktionen. „Es kann auch zusätzliche bösartige Komponenten von einem Command-and-Control erhalten (C2) Server und führen Sie sie auf dem kompromittierten Server aus,“ fügten die Forscher hinzu. Es ist auch bemerkenswert, dass die Malware funktioniert, indem sie den Missbrauch der Security Assertion Markup Language . erlaubt (SAML) Token in AD FS.
„Der Schutz von AD FS-Servern ist der Schlüssel zur Abwehr von NOBELIUM-Angriffen. Erkennen und Blockieren von Malware, Angreiferaktivität, und andere bösartige Artefakte auf AD FS-Servern können kritische Schritte in bekannten NOBELIUM-Angriffsketten unterbrechen,“ Microsoft schloss.
Solarmarker Backdoor
Solarmarker ist ein hochmodularer Backdoor und Keylogger mit einem mehrstufigen, stark verschleierter PowerShell-Loader, der die .NET-Hintertür ausführt.
Solarmarker Aktivitäten wurden unabhängig von Forschern von Crowdstrike und Cisco Talos beobachtet. Beide Unternehmen haben Solarmarker im letzten Jahr entdeckt, im Oktober und September, beziehungsweise. Jedoch, Talos sagt, dass einige DNS-Telemetriedaten sogar auf April zurückreichen 2020. Zu diesem Zeitpunkt entdeckten die Forscher drei primäre DLL-Komponenten und mehrere Varianten mit ähnlichem Verhalten.
„Die laufende Kampagne von Solarmarker und die damit verbundene Malware-Familie sind besorgniserregend“. Es war anfangs in der Lage, über einen beträchtlichen Zeitraum hinweg zu funktionieren und sich weiterzuentwickeln, während es relativ unentdeckt blieb,“ stellen die Forscher abschließend fest. Sie erwarten auch weitere Maßnahmen und Entwicklungen von den Autoren von Solarmarker, die wahrscheinlich neue Taktiken und Verfahren in die Malware integrieren werden.
Meris DDoS-Botnet
Ende Juni, 2021, Sicherheitsforscher der russischen Firma Qrator begannen, „ein Botnetz einer neuen Art“ zu beobachten. Es folgte eine gemeinsame Recherche mit Yandex, um mehr über diese neue DDoS-Bedrohung zu erfahren, die „fast in Echtzeit auftaucht“..
Ein ziemlich umfangreiches, ständig wachsende Angriffskraft, wie Qrator es ausdrückte, wurde in Form von Zehntausenden von Host-Geräten aufgedeckt. Das Botnet wurde synchronisiert Meris, was bedeutet Pest auf Lettisch.
"Separat, Qrator Labs sah die 30 000 Host-Geräte in tatsächlichen Zahlen durch mehrere Angriffe, und Yandex sammelte die Daten über 56 000 angreifende Gastgeber,“ laut offiziellem Bericht. Diese Zahl ist höchstwahrscheinlich noch höher, Erreichen 200,000. Bemerkenswert ist, dass die Geräte dieses Botnetzes sehr leistungsfähig sind und nicht die statistisch durchschnittlichen Geräte sind, die über Ethernet verbunden sind.
Das neue Mirai?
„Einige Leute und Organisationen nannten das Botnet bereits „eine Rückkehr von Mirai“, was wir nicht für richtig halten,” Qrator bemerkte. Da die Forscher den bösartigen Code hinter diesem neuen Botnet nicht gesehen haben, sie können nicht sicher sagen, ob es irgendwie mit Mirai . zusammenhängt. Jedoch, da die Geräte, die es zusammenfasst, nur von einem Hersteller stammen, Mikrotek, es ist wahrscheinlicher, dass das Meris-Botnet nichts mit Mirai . zu tun hat.
LockFile-Ransomware
Die LockFile-Ransomware entstand im Juli 2021. Die Ransomware nutzt bei ihren Angriffen die ProxyShell-Schwachstellen in Microsoft Exchange-Servern aus. Die Fehler werden eingesetzt, „um Ziele mit ungepatchten“, On-Premise-Microsoft Exchange-Server, gefolgt von einem PetitPotam NTLM-Relay-Angriff, um die Kontrolle über die Domain zu erlangen,“ laut Mark Loman von Sophos.
Was ist am meisten an dieser Ransomware bemerkenswert?, jedoch, ist seine Verschlüsselung. Intermittierende Verschlüsselung wurde bisher von keiner bekannten Ransomware verwendet, und es wurde von den Bedrohungsakteuren zu Umgehungszwecken ausgewählt.
Wie funktioniert die intermittierende Verschlüsselung? Der Kryptovirus verschlüsselt jeden 16 Bytes einer Datei, um der Erkennung durch Ransomware-Schutzlösungen zu entgehen. Offenbar, ein so verschlüsseltes Dokument sieht dem verschlüsselten Original sehr ähnlich.
Umgehung ist möglich, wenn Anti-Ransomware-Tools das sogenannte „Chi-Quadrat“ verwenden (chi^2)" Analyse, die statistische Art und Weise, wie diese Analyse durchgeführt wird, zu verändern und sie somit zu verwirren.
Bemerkenswert ist auch, dass die Ransomware keine Verbindung zu einem Command-and-Control-Server herstellen muss, macht sein Verhalten unter dem Radar noch ausgeklügelter, Das bedeutet, dass es Daten auf Computern verschlüsseln kann, die keinen Internetzugang haben.
XCSSET Mac-Malware
März, 2021, Sentinel Labs-Forscher wurden auf ein trojanisiertes Xcode-Projekt aufmerksam, das sich an iOS-Entwickler richtete. Das Projekt war eine böswillige Version eines legitimen, Open-Source-Projekt auf GitHub verfügbar, Aktivieren von iOS-Programmierern, um verschiedene erweiterte Funktionen zum Animieren der iOS-Registerkartenleiste zu verwenden.
Eine ähnliche Kampagne wurde im April entdeckt, auf Xcode-Entwickler ausgerichtet, ausgestattet mit Macs mit den neuen M1-Chips von Apple. Die Malware kann auch vertrauliche Informationen aus Kryptowährungsanwendungen stehlen.
Es ist zu beachten, dass die sog XCSSET-Malware wurde erstmals im August entdeckt, 2020, als es sich über geänderte Xcode IDE-Projekte verbreitete. Die Malware verpackt normalerweise Nutzlastmodule neu, um sie als legitime Mac-Apps anzuzeigen, die am Ende lokale Xcode-Projekte infizieren.
Zu den Modulen der Malware gehört das Stehlen von Anmeldeinformationen, Screenshot-Aufnahme, Injizieren von bösartigem JavaScript in Websites, App-Daten stehlen, und in einigen Fällen, sogar Ransomware-Funktionen.
Neuere XCSSET-Varianten werden speziell für Apple M1-Chips kompiliert. Dies ist ein klares Zeichen dafür, dass die Malware-Betreiber ihre Malware an die neuesten Apple-Technologien anpassen.
Abschließend…
Alle oben beschriebenen Malware-Fälle zeigen die Bedeutung eines angemessenen Schutzes, Prävention und ausgezeichnete Online-Hygienegewohnheiten. In diesen beunruhigenden Zeiten, Vergessen wir nicht, wie wichtig es ist, an unsere Online-Sicherheit zu denken, zu.
PS: Wenn Sie diesen Artikel nützlich fanden, stellen Sie sicher, lesen: