Doctor Web: Analyse und Rückblick von Bedrohungen im September 2017

Frankfurt, 29. September 2017

Im September haben mehrere Medien mitgeteilt, dass Cyber-Kriminelle Web-Browser von Anwendern als Tool zum unerlaubten Mining von Kryptowährungen ausgenutzt haben. Dabei erfreut sich die Kryptowährung Monero (XMR) größter Beliebtheit.

Der Mining-Schädling, der von unseren Spezialisten als Tool.BtcMine.1046 in die Virendefinitionsdatei aufgenommen wurde, ist auf JavaScript geschrieben. Beim Aufrufen einiger Webseiten begann der Bösewicht mittels eines JavaScript-Szenarios Kryptowährung zu scheffeln. Nach Angaben von Anwendern konnte die CPU-Auslastung bei 100% liegen und ging auf Standardwerte zurück, sobald der Browser geschlossen wurde. Es ist schwierig abzuschätzen, auf was dies genau zurückzuführen ist – auf eine freiwillige Einbettung des Codes oder Webseiten-Hacks. Aktuell warnt Dr.Web Antivirus vor potenziell gefährlichen Inhalten, sobald ähnliche Webseiten aufgerufen werden.

Kurz danach wurde ein zweites böswilliges Tool unter dem Namen Tool.BtcMine.1048 in die Virendefinitionsdatei eingeführt. Dieser Miner ist auf JavaScript geschrieben und wurde ohne Zustimmung der Webseiten-Besucher eingesetzt. Eine solche Technologie kann sowohl legal als auch illegal eingesetzt werden. Ähnliche Szenarien können in den Webseiten-Code nicht nur von Inhabern, sondern auch von Werbetreibenden durch Hacks eingebettet werden. Außerdem kann die Mining-Funktion auch in Plug-ins realisiert werden, die Anwender in Browsern installieren.

Die Sicherheitsspezialisten von Doctor Web haben im September Schwachstellen im Bluetooth-Protokoll entdeckt und herausgefunden, dass Cyber-Kriminelle IoT zum Versenden von Spam-Mails verwenden.

Bedrohung des Monats

Doctor Web teilte hier Informationen über Linux.ProxyM bereits mit. Der Schädling startete auf einem infizierten Gerät einem SOCKS-Proxy-Server. Es gibt bereits Konfigurationen des Trojaners für Geräte mit Architektur x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 und SPARC, d.h. er kann auf smarten Geräten wie Router, TV-Konsolen usw. funktionieren. Die Virenanalysten haben festgestellt, dass Cyber-Kriminelle mittels dieser infizierten Geräte Spam-Mails, wo Webseiten für Erwachsene beworben werden, versenden. Täglich versendet jedes infizierte Gerät etwa 400 Mails. Die Aktivitäten des Botnets sind nachfolgend abgebildet:

Die meisten durch Linux.ProxyM infizierten Geräte, von denen Angriffe durchgeführt werden, befinden sich in Brasilien. Weiter folgen die USA und Russland.

Mehr zu Linux.ProxyM finden Sie hier

Dr.Web Antivirus Statistik

Trojan.Inject

Malware, die einen Schadcode in laufende Prozesse einfügt.

Trojan.InstallCore

Trojaner, die andere Malware installieren.

Trojan.BitCoinMiner.4

Schädling, der zum versteckten Mining von BitCoin geeignet ist.

Win32.Virut.5

Polymorpher Virus, der ausführbare Daten infiziert und infizierte Geräte mittels eines IRC-Kanals verwaltet.

Trojan.BtcMine

Familie von Schädlingen, die CPU-Ressourcen eines PCs zum Scheffeln von u.a. Bitcoin unerlaubt nutzen.

Serverstatistik

Trojan.Inject

Malware, die einen Schadcode in laufende Prozesse einfügt.

JS.Inject.3

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Trojan.CCleaner.2

Trojaner, der in CCleaner (Programm zum Optimieren von Microsoft Windows) gefunden wurde.

Trojan.DownLoader

Trojaner, die andere Malware herunterladen und installieren.

Win32.HLLW.Shadow

Wurm, der zu seiner Verbreitung Wechseldatenträger und Logical Volumes verwendet. Außerdem kann er sich mittels SMB-Protokoll verbreiten und von einem Verwaltungsserver ausführbare Dateien herunterladen und starten.

Malware im E-Mail-Traffic

Trojan.Inject

Familie von Trojanern, die ihren Schadcode in andere Apps einbetten.

VBS.DownLoader

Böswillige Szenarien auf VBScript, die auf PCs andere Malware herunterladen und installieren.

JS.Inject.3

Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Dr.Web Bot für Telegram

Android.Locker

Android-Trojaner, der Lösegeld für die vermeintliche Entsperrung von Geräten verlangt.

Android.Spy.337.origin

Android-Trojaner, die vertrauliche Daten, inkl. Benutzerpasswörter klauen können.

Joke.Locker.1.origin

Riskware für Android, die den Bildschirm des mobilen Endgeräts sperrt BSOD, Blue Screen of Death anzeigt.

Android.Hidden

Android-Trojaner, die sich im System verstecken können.

Encoder

Support-Anfragen wegen Encoder im September:

• Trojan.Encoder.858 — 23.49% Anfragen;
• Trojan.Encoder.13671 — 5.33% Anfragen;
• Trojan.Encoder.11464 — 3.89% Anfragen;
• Trojan.Encoder.761 — 2.74% Anfragen;
• Trojan.Encoder.5342 — 2.02% Anfragen;
• Trojan.Encoder.567 — 2.00% Anfragen.

Böswillige Webseiten

Im September 2017 wurden 298 324 Internetadressen in die Datenbank von nicht empfohlenen Webseiten aufgenommen.

Malware für mobile Endgeräte

Im September wurde die Sicherheitslücke „BlueBorne“ im Bluetooth-Protokoll entdeckt. Anfällig sind verschiedene Geräte, u.a. Android-Smartphones und Tablets. Diese Sicherheitslücken ermöglichen eine totale Kontrolle über infizierte Geräte, lassen einen beliebigen Code ausführen und vertrauliche Daten klauen. Darüber hinaus wurde auf Google Play im vorigen Monat Android.BankBot.234.origin entdeckt, der Bankkartendaten klaut.

Hauptereignisse:

• Neue Details zu entdeckten Schwachstellen im Bluetooth-Protokoll;
• Neuer Banking-Trojaner auf Google Play entdeckt.

Mehr zur Lage in der mobilen Sicherheitsszene finden Sie hier.