Frankfurt, 3. April 2018
Im März 2018 wurde eine Vielzahl an Viren & Co. von den Virenanalysten von Doctor Web entdeckt. Anfang März versendeten Cyber-Kriminelle Phishing-Mails mit einem gefälschten Link zur Webseite von Mail.Ru und versuchten, Benutzerkonten zu klauen. Die Virenanalysten von Doctor Web nahmen darüber hinaus auch neue Variationen von Trojan.LoadMoney, die Malware auf den Rechner hochladen, unter die Lupe. Ende März wurde Trojan.PWS.Stealer.23012 entdeckt, der Dateien und weitere sensible Daten von Windows-Geräten entwendet. Außerdem machten die Doctor Web Malwareanalysten mehrere Bedrohungen für Google Android ausfindig.
Hauptereignisse
- Massenhafter Versand von Phishing-Mails;
- Verbreitung neuer Vertreter von Trojan.LoadMoney;
- Neuer Trojaner, der vertrauliche Daten klaut.
Bedrohung des Monats
Die Verbreitung von Trojan.PWS.Stealer.23012 fing am 11. März 2018 an. Links zum Trojaner wurden durch Cyber-Kriminelle auf YouTube gepostet. In vielen solcher Videos werden betrügerische Spielmethoden unter Einsatz bestimmter Tools behandelt. Cyber-Kriminelle versuchen dabei, Schädlinge für solche Tools auszugeben.
Der Trojaner sammelt Cookies sowie gespeicherte Benutzernamen und Passwörter auf dem infizierten PC, macht Bildschirmaufnahmen und kopiert Dateien vom Windows-Arbeitsplatz. Die geklauten Daten werden zusammen mit Geo-Daten der infizierten Geräte an den Server von Cyber-Kriminellen gesendet. Mehr zur Funktionsweise von Trojan.PWS.Stealer.23012 finden Sie hier.
Statistik von Dr.Web Antivirus
- Trojan.Starter.7394
- Ein Vertreter der Trojaner-Familie, die im infizierten Betriebssystem eine ausführbare Datei mit einer vordefinierten Funktion startet.
- Trojan.Inject
- Eine Familie von Schädlingen, die den Schadcode in Prozesse böswilliger Software integrieren kann.
- Trojan.Zadved
- Ein Böswilliges Plug-in, das authentische Suchtreffer unterschiebt und Werbung austauscht.
- Trojan.Moneyinst.520
- Ein Schädling, der böswillige Apps auf den Rechner der Opfer installiert.
- Trojan.Encoder.11432
- Ein Vertreter der Erpressungstrojaner, der Daten auf einem infizierten Rechner verschlüsselt und für die Entschlüsselung ein Lösegeld verlangt. Der Schädling ist auch unter dem Namen WannaCry bekannt.
- BackDoor.Meterpreter.56
- Eine Familie von Backdoors, mit deren Hilfe Cyber-Kriminelle Rechner per Fernzugriff steuern können.
- JS.Inject
- Eine Familie von Trojanern, die auf dem infizierten Gerät vertrauliche Daten klaut.
- BackDoor.IRC.Bot.4771
- Eine Familie von Backdoors, mit deren Hilfe Cyber-Kriminelle Rechner per Fernzugriff und unter Einsatz von IRC (Internet Relay Chat) steuern können.
- Trojan.Encoder.11432
- Ein Vertreter der Erpressungstrojaner, der Daten auf einem infizierten Rechner verschlüsselt und für die Entschlüsselung ein Lösegeld verlangt. Der Schädling ist auch unter dem Namen WannaCry bekannt.
- JS.DownLoader
- Eine Familie von Trojanern auf JavaScript, die auf dem infizierten Gerät weitere Malware herunterlädt.
- JS.Inject
- Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
- Trojan.Encoder.24788
- Eine Familie von Trojanern, die Dateien auf dem infizierten Rechner verschlüsseln und vom Opfer ein Lösegeld für die Dekodierung verlangen.
- Java.Jrat.58
- Ein Schädling für die Remote-Verwaltung des Rechners (Remote Access Tools, RAT), der auf Java geschrieben ist.
- Trojan.PWS.Stealer
- Eine Familie von Trojanern, die auf dem infizierten Rechner Passwörter sowie andere sensible Daten klauen.
- Trojan.Encoder.858 — 15.38% Anfragen;
- Trojan.Encoder.11464 — 7.26% Anfragen;
- Trojan.Encoder.11539 — 6.62% Anfragen;
- Trojan.Encoder.24249 — 5.77% Anfragen;
- Trojan.Encoder.567 — 3.63% Anfragen;
- Trojan.Encoder.2667 — 2.35% Anfragen.
- Entdeckung eines Trojaners in Dutzenden Android-Smartphones;
- Neue Banking-Trojaner;
- Entdeckung von Malware auf Google Play.
Serverstatistik von Doctor Web
Malware im E-Mail-Traffic
Encoder
Support-Anfragen aufgrund von Encodern im März 2018:
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Anfang März informierte Doctor Web über massenhaft versendete Phishing-Mails, die vermeintlich von Mail.Ru stammen. In diesen E-Mails warnte man Nutzer, dass alle Benutzerkonten auf Mail.Ru gesperrt sind und Nutzer sich ein zweites Mal autorisieren sollten. Der Link in einer solchen E-Mail führte zur verfälschten Mail.Ru-Webseite und die von den Nutzern eingegebenen Daten wurden an Cyber-Kriminelle weitergeleitet.
Die Adresse der verfälschten Webseite wurde in die Datenbank von Dr.Web Office Control aufgenommen.
Im März 2018 wurden 624.474 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
| Februar 2018 | März 2018 | Wachstum |
|---|---|---|
| + 1 174 380 | + 624 474 | - 46.8% |
Weitere Ereignisse
Trojaner aus der Familie Trojan.LoadMoney, die weitere Schädlinge auf den infizierten Rechner herunterladen, sind bereits seit 2013 bekannt. Im März 2018 haben die Virenanalysten von Doctor Web mehrere Vertreter dieser Art unter die Lupe genommen. Die Virenschreiber sorgten dafür, dass Trojaner im System keine visuellen Spuren hinterlassen, damit sie nicht entdeckt werden können. Mehr zur Analyse von Trojan.LoadMoney finden Sie hier.
Malware für mobile Geräte
Im März 2018 veröffentlichten die Virenanalysten von Doctor Web die Ergebnisse der Analyse des Trojaners Android.Triada.231, den Cyber-Kriminelle in Firmware von über 40 Smartphone-Modellen integriert haben. Android.Triada.231 infiziert Prozesse sämtlicher Apps und ist in der Lage, verschiedene böswillige Aktionen durchzuführen. Auf Google Play wurden mehrere neue Trojaner entdeckt, unter denen es Vertreter von Android.Click gibt, die beliebige Webseiten herunterladen und anzeigen können. Die Virenanalysten von Doctor Web entdeckten darüber hinaus auch Schädlinge, die auf der Grundlage von Android.BankBot.149.origin entwickelt wurden. Ein solcher, der von Cyber-Kriminellen als Spion eingesetzt wurde, wurde als Android.BankBot.325.origin getauft.
Hauptereignisse in der mobilen Sicherheitsszene:
