Die meistgesuchte Malware im Mai 2023: Neue Version von Guloader liefert verschlüsselte Cloud

In unserem neuesten Global Threat Index für Mai 2023 berichteten Forscher über eine neue Version des Shellcode-basierten Downloaders GuLoader, der die vierthäufigste Malware war. Mit vollständig verschlüsselten Payloads und Anti-Analysetechniken kann die neueste Form unentdeckt in bekannten öffentlichen Cloud-Diensten, einschließlich Google Drive, gespeichert werden. Mittlerweile belegen Qbot und Anubis den ersten Platz auf ihren jeweiligen Listen, und Bildung/Forschung blieb die am stärksten ausgebeutete Branche.

GuLoader ist einer der bekanntesten Downloader, den Cyberkriminelle nutzen, um der Antiviren-Erkennung zu entgehen. Nach über drei Jahren Aktivität und kontinuierlicher Weiterentwicklung verwendet die neueste Version eine Technik, die Code in einem legitimen Prozess ersetzt und es ihm ermöglicht, der Erkennung durch Sicherheitstools zur Prozessüberwachung zu entgehen. Durch den Einsatz eines VBScripts zum Herunterladen verschlüsselter Shellcodes aus der Cloud erhalten Opfer eine weniger verdächtige Datei, wodurch die Wahrscheinlichkeit verringert wird, dass Warnungen ausgelöst werden. Durch die Verwendung von Verschlüsselung, rohem Binärformat und Trennung vom Loader werden die Nutzlasten für Antivirenprogramme unsichtbar, sodass Bedrohungsakteure den Antivirenschutz umgehen und Google Drive als Speicher nutzen können. In einigen Fällen können diese bösartigen Payloads über längere Zeiträume aktiv bleiben.

Im vergangenen Monat belegten außerdem sowohl Qbot als auch Anubis den ersten Platz auf ihren jeweiligen Listen. Trotz der Bemühungen, die Verbreitung von Malware durch das Blockieren von Makros in Office-Dateien zu verlangsamen, haben die Qbot-Betreiber ihre Verteilung und Bereitstellung schnell angepasst. Kürzlich wurde beobachtet, dass ein Dynamic Link Library (DLL)-Hijacking-Fehler im WordPad-Programm von Windows 10 missbraucht wird, um Computer zu infizieren.

Immer häufiger beobachten wir, dass Cyberkriminelle öffentlich verfügbare Tools nutzen, um Malware-Kampagnen zu speichern und auszuliefern. Wir können nicht länger blind darauf vertrauen, dass die von uns genutzten Dienste absolut sicher sind, egal wie vertrauenswürdig die Quelle auch sein mag. Deshalb müssen wir darüber aufgeklärt werden, wie verdächtige Aktivitäten aussehen. Geben Sie keine persönlichen Daten weiter und laden Sie keine Anhänge herunter, es sei denn, Sie haben überprüft, dass die Anfrage legitim ist und keine böswillige Absicht vorliegt.

CPR ergab außerdem, dass „Web Servers Malicious URL Directory Traversal“ die am häufigsten ausgenutzte Schwachstelle war und 49 % der Unternehmen weltweit betraf, gefolgt von „Apache Log4j Remote Code Execution“, das 45 % der Unternehmen weltweit betraf. „HTTP Headers Remote Code Execution“ war die am dritthäufigsten genutzte Schwachstelle mit einer globalen Auswirkung von 44 %.

Top-Malware-Familien

*Die Pfeile beziehen sich auf die Rangveränderung im Vergleich zum Vormonat.

Qbotwar im letzten Monat die am weitesten verbreitete Malware mit einem Einfluss von 6 % weltweiter Organisationen, gefolgt vonFormularbuchmit einer globalen Auswirkung von 5 % undAgentTeslamit einer globalen Auswirkung von 3 %.

Am häufigsten angegriffene Branchen weltweit

Im vergangenen Monat,Bildung/Forschungblieb als am stärksten ausgebeutete Branche weltweit an erster Stelle, gefolgt vonRegierung/MilitärUndGesundheitspflege.

Am häufigsten ausgenutzte Schwachstellen

Im vergangenen Monat,„Webserver-Böswillige URL-Verzeichnisdurchquerung“war die am häufigsten ausgenutzte Schwachstelle mit Auswirkungen49 %von Organisationen weltweit, gefolgt von„Apache Log4j Remote-Codeausführung“einwirkend45 %von Organisationen weltweit.„HTTP-Header-Remotecodeausführung“war die am dritthäufigsten genutzte Schwachstelle mit einer globalen Auswirkung von44 %.

Top-Malware für Mobilgeräte

Im vergangenen MonatAnubisbelegte den ersten Platz als am weitesten verbreitete mobile Malware, gefolgt vonAhMythosUndVersteckt.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud-Intelligenz von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsinformationen, die von Hunderten Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone stammen. Die Informationen werden mit KI-basierten Engines und exklusiven Forschungsdaten von Check Point Research, dem Geheimdienst- und Forschungszweig von Check Point Software Technologies, angereichert.