- Anzeigen -


Sie sind hier: Home » Virenwarnung » Statistiken

Trojaner installiert schädlichen Chrome-Browser


Neue Trojaner für POS-Terminals sowie verfälschter Chrome-Browser Outfire entdeckt
Anfang August erfassten die Sicherheitsanalysten von Doctor Web einen Linux-Trojaner, der in der Google GO-Programmiersprache geschrieben ist: Der Trojaner setzt das Programm zum Mining von Kryptowährung ein und wird auch Linux.Lady.1 genannt



Auch im letzten Sommermonat haben die Sicherheitsanalysten von Doctor Web eine Vielzahl von Malware erforscht. So erfassten sie Anfang August einen Trojaner, der POS-Terminals infiziert. Ferner entdeckten sie zwei in der Google GO-Sprache geschriebene Linux-Trojaner, von denen einer ein Botnet einrichten kann und eine Backdoor, die Teamviewer ausnutzt.

Angriffe auf die TeamViewer Software sind leider keine Seltenheit. Ein weiteres Beispiel ist BackDoor.TeamViewerENT.1, der auch unter dem Namen Spy-Agent bekannt ist. Im Unterschied zu seinen Vorgängern nutzt BackDoor.TeamViewerENT.1 die Möglichkeiten von TeamViewer zur Benutzerspionage.

Die Backdoor ist in der Lage, fehlende TeamViewer Komponenten von ihrem Verwaltungsserver herunterzuladen und unter anderem eine Verbindung zu einem Remote-Server aufzubauen und cmd.exe mit dem Weiterleiten zum Remote-Host zu starten.

Die Virenanalysten von Doctor Web stellten fest, dass es die Entwickler von BackDoor.TeamViewerENT.1 besonders auf Nutzer aus England, Russland und den USA abgesehen haben und diese zu einem vordefinierten Zeitpunkt angreifen. Weitere Informationen zur Funktionsweise der Backdoor und ihren Zielen gibt es hier.

Böswillige Programme für Linux
Anfang August erfassten die Sicherheitsanalysten von Doctor Web einen Linux-Trojaner, der in der Google GO-Programmiersprache geschrieben ist. Der Trojaner setzt das Programm zum Mining von Kryptowährung ein und wird auch Linux.Lady.1 genannt. Nach dem Start übermittelt Linux.Lady.1 Informationen zur installierten Linux-Version, zur Anzahl von Prozessoren auf dem Rechner und weitere sensible Informationen an den Verwaltungsserver. Anschließend erhält der Trojaner eine Konfigurationsdatei und startet das Mining-Programm. Das auf diese Weise erhaltene Geld wird einer elektronischen Geldbörse von Cyber-Kriminellen gutgeschrieben.

Ein weiterer Trojaner - Linux.Rex.1 - verfügt über noch größere Funktionsmöglichkeiten. Er ist ebenso in Google GO geschrieben und kann Botnets einrichten sowie Webseiten unter beliebten CMSs angreifen. Außerdem versendet der Trojaner E-Mails mit Drohungen, führt DDoS-Angriffe durch und klaut Benutzerdaten wie SSH-Schlüssel, Logins und Passwörter.

Weitere Ereignisse
Anfang August wurde Trojan.Kasidet.1 ausfindig gemacht, der POS-Terminals infiziert. Neben den üblichen Funktionen für ein POS-Terminal, kann er auch Benutzerdaten für Outlook, Foxmail oder Thunderbird stehlen und sich in Browserprozesse von Mozilla Firefox, Google Chrome, Microsoft Internet Explorer und Maxthon - zum Abfangen von GET- und POST-Anfragen - einschleusen. Der Trojaner ist darüber hinaus in der Lage, auf Befehl der Cyber-Kriminellen eine weitere böswillige Anwendung zu starten und diesen eine Liste von funktionierenden Anwendungen zuzusenden. Mehr zu Trojan.Kasidet.1 lesen Sie hier.

Ende August begann die Verbreitung von Trojan.Mutabaha.1. Der Trojaner installiert einen schädlichen Chrome-Browser namens Outfire auf den Rechnern der Opfer. Outfire modifiziert bestehende Desktop-Verbindungen - oder löscht diese und erstellt neue - und kopiert das aktuelle Benutzerprofil von Chrome. Die Startseite des Browsers kann nicht angepasst werden und verfügt über ein Werbe-Plug-in, welches nicht deaktiviert werden kann. Weitere Informationen zu Outfire gibt es hier.

Böswillige und unerwünschte Software für mobile Endgeräte
Im August entdeckten die Virenanalysten von Doctor Web einen Android-Trojaner, der unerwünschte Werbung anzeigt sowie Apps auf Google Play kaufen und herunterladen kann. Darüber hinaus wurden im vergangenen Monat verfälschte Dr.Web Applikationen für iOS auf Apple iTunes verbreitet.

Statistiken des Desinfektions-Tools Dr.Web CureIt!

>> Trojan.BtcMine.793
Trojaner, der auf dem Rechner des Benutzers das Mining von Kryptowährung, z.B. Bitcoin, unerlaubt durchführt.

>> Trojan.DownLoader
Familie von Trojanern zum Herunterladen von weiteren böswilligen Apps auf den Rechner.

>> Trojan.LoadMoney
Downloader, die im Rahmen des Partnerprogramms LoadMoney generiert werden. Diese Trojaner laden böswillige Anwendungen herunter und installieren diese auf dem Rechner des Opfers.

>> Trojan.InstallCore.1903
Trojaner, der andere böswillige Applikationen herunterlädt und installiert.

>> Trojan.BPlug
Plug-ins, die unerwünschte Werbung anzeigen.

Statistiken von Servern von Doctor Web

>> JS.Downloader
Böswillige Szenarien, die auf JavaScript geschrieben sind, Malware herunterladen und diese auf dem Rechner des Opfers installieren.

>> Trojan.DownLoader
Downloader, die im Rahmen des Partnerprogramms LoadMoney generiert werden. Diese Trojaner laden böswillige Anwendungen herunter und installieren diese auf dem Rechner des Opfers.

>> Trojan.BPlug
Plug-ins, die unerwünschte Werbung anzeigen.

>> Trojan.LoadMoney
Downloader, die im Rahmen des Partnerprogramms LoadMoney generiert werden. Diese Trojaner laden böswillige Anwendungen herunter und installieren diese auf dem Rechner des Opfers.

>> JS.Redirector
Böswillige Szenarien, die auf JavaScript geschrieben sind, Malware herunterladen und diese auf dem Rechner des Opfers installieren.

Malware im E-Mail-Traffic

>> JS.Downloader
Böswillige Szenarien, die auf JavaScript geschrieben sind, Malware herunterladen und diese auf dem Rechner des Opfers installieren.

>> W97M.DownLoader
Download-Trojaner, die sich über Sicherheitslücken im Betriebssystem und in andere Software einschleusen und weitere böswillige Programme herunterladen.

Dr.Web Bot für Telegram
Im März 2016 wurde Dr.Web für Telegram gestartet. Der Bot kann einen Link oder eine Datei blitzschnell prüfen und diese bei Malwarefund melden. Auf diese Weise kann er der Infizierung durch Viren & Co. vorbeugen. In den letzten Monaten konnten mehrere Tausend Nutzer vom Dr.Web Bot Gebrauch machen. Die Statistik zeigt, dass der Dr.Web Bot Gefahren nicht nur für Microsoft Windows, sondern auch für Android aufspürt. Darüber hinaus konnten im August 2016 5,9 Prozent aller Benutzer den Bot mit Hilfe der Test-Datei EICAR testen. Die Top 5 Bedrohungen, welche durch Dr.Web für Telegram entdeckt wurden, finden Sie im nachfolgenden Diagramm.

>> Trojan.PWS.Spy
Malware, die persönliche Daten von Windows-Benutzern klaut.

>> Android.Locker
Android-Trojaner, die Geld erpressen. Verschiedene Versionen dieser Malware zeigen die Meldung an, dass der Benutzer vermeintlich das Gesetz verletzt hat. Um die Sperrung zu deaktivieren, soll man dafür zahlen.

>> Android.Spy
Multifunktionale Trojaner, die Android-Geräte angreifen, Kontakte klauen, Kurznachrichten versenden, GPS-Koordinaten bestimmen sowie Registerkarten im Browser und IMEI des Smartphones ablesen können.

>> Android.DownLoader
Trojaner, die weitere Malware auf mobile Endgeräte herunterladen und installieren.

>> Android.SmsSend
Trojaner für Android, die kostspielige Kurznachrichten versenden.

Verschlüsselungstrojaner
Im August 2016 erhielt der technische Support von Doctor Web Support-Anfragen aufgrund der folgenden Trojaner:

>> Trojan.Encoder.761: 17,69 Prozent
>> Trojan.Encoder.858: 15,40 Prozent
>> Trojan.Encoder.4860: 12,56 Prozent
>> Trojan.Encoder.567: 9,49 Prozent
>> Trojan.Encoder.3953: 6,08 Prozent
(Doctor Web: ra)

eingetragen: 18.09.16
Home & Newsletterlauf: 06.10.16

Doctor Web: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Statistiken

  • Malware- & Netzwerkangriffe nehmen zu

    Wie der aktuell veröffentlichte "WatchGuard Internet Security Report" für das dritte Quartal 2019 belegt, sollte bei per E-Mail eingehenden Word-, RTF- oder anderen Office-Dokumenten weiterhin besondere Vorsicht gelten. Diesmal haben es gleich zwei einschlägige Malware-Varianten in die Top 10 geschafft. Die Nase vorn hat dabei ein Angriffsversuch, der auf einer Schwachstelle des Word-Formeleditors basiert. Dieser ermöglicht es Hackern beliebigen Code auszuführen, sobald das manipulierte Dokument geöffnet wird. Sowohl hinsichtlich der Gesamtmenge als auch der Verbreitung solch Office-basierter Übergriffe wurden dabei im dritten Quartal neue Bestmarken erreicht: Neben der Anzahl entsprechender Attacken verdoppelte sich auch der Adressatenkreis im Vergleich zum Vorquartal. Die Übermittlung erfolgte in der Mehrzahl aller Fälle per E-Mail. Daher wird es gerade für Unternehmen immer wichtiger, ihre Mitarbeiter gezielt zu sensibilisieren. Schulungen und Aufklärungsinitiativen können dazu beitragen, dass Anwender solche und andere Übergriffe sowie Phishing-Versuche besser erkennen.

  • Ein Drittel mehr DDoS-Attacken

    Im dritten Quartal 2019 stieg die Anzahl der DDoS-Angriffe gegenüber dem Vorquartal um ein Drittel (30 Prozent) an; mehr als die Hälfte (53 Prozent) der Attacken fand im September statt. Darüber hinaus gab es einen Anstieg einfacherer DDoS-Angriffe, die vor allem akademische Webseiten im Visier hatten. Der Anstieg ist durch eine Vielzahl einfacherer Angriffe bedingt, während in den vorherigen Quartalen das Wachstum auf eine Zunahme intelligenter Angriffe zurückzuführen war, die von erfahrenen Cyberkriminellen auf Anwendungsebene durchgeführt wurden. In diesem Quartal sank der Anteil dieser Art von Angriffen auf 28 Prozent aller DDoS-Angriffe, im zweiten Quartal machten intelligente Angriffen noch die Hälfte (50 Prozent) aus.

  • Vermehrt Ransomware-Angriffe auf NAS-Systeme

    Kaspersky-Forscher haben im Rahmen einer aktuellen Studie eine neue Art von Ransomware-Angriff identifiziert, der im Hinblick auf Network Attached Storage (NAS) ein neues Risiko für Backup-Daten darstellt, die in der Regel auf solchen Geräten gespeichert werden. Da NAS bislang weitgehend als sichere Technologie galt, sind Nutzer hinsichtlich potenzieller Infektionen zumeist unvorbereitet - wodurch deren Daten einem erhöhten Risiko ausgesetzt sind. Um Network Attached Storages anzugreifen, scannen Cyberkriminelle IP-Adressverzeichnisse und suchen dort nach NAS-Systemen, die über das Internet erreicht werden können. Auch wenn Webschnittstellen nur mittels Authentifizierung zugänglich sind, läuft auf einer Reihe von Geräten Software, die Schwachstellen enthält. Dies ermöglicht es Angreifern, einen Trojaner mittels Exploits zu installieren, der alle Daten auf den mit dem NAS verbundenen Geräten verschlüsselt.

  • Cyberkriminelle schlagen bevorzugt an Werktagen zu

    Barracuda Networks hat ihren aktuellen Spear-Phishing-Report veröffentlicht. Im Zeitraum von Juli bis September 2019 identifizierte der Sicherspezialist 1,5 Millionen Spear-Phishing-Attacken bei über 4.000 Unternehmen oder Institutionen, die "Barracuda Sentinel" einsetzen, ein Cloud-Service mit KI-Lösung zur Echtzeit-Abwehr von Spear-Phishing-Attacken und Betrugsversuchen. Folgender vier Vektoren bedienten sich die Angreifer hauptsächlich: Scamming (39 Prozent): Diese Angriffe zielen ab auf private, sensible und persönliche Informationen wie etwa Kontodaten oder Kreditkartennummern.

  • Sextortion ein sehr großes Problem

    Proofpoint hat ihren neuesten Threat Report für das dritte Quartal 2019 veröffentlicht. Darin zeigt das Unternehmen aktuelle Trends und Bedrohungen im Bereich Cybersecurity auf. Besonders auffällig ist dabei, dass die Schadsoftware Emotet allein bei 12 Prozent aller E-Mails mit Malware im Anhang zum Einsatz kam - obwohl Emotet nur in den letzten beiden Wochen des Septembers nennenswert aktiv war. Das heißt demnach, dass in diesem kurzen Zeitraum mehrere Millionen von Nachrichten mit bösartigen URLs oder Anhängen versandt wurden. Eine der treibenden Kräfte hinter der weltweiten Verbreitung von Emotet ist die in Fachkreisen als TA542 (Thread Actor 542) bezeichnete Gruppierung. Diese Gruppe Cyberkrimineller ist für den Vertrieb von Emotet "zuständig" und erweiterte in diesem Zeitraum auch ihr regionales Targeting auf eine Reihe neuer Länder, darunter Italien, Spanien, Japan, Hongkong und Singapur. TA542 hat dabei Methoden angewandt, von denen sich die Gruppe Anfang 2019 zunächst getrennt hatte. Dazu gehören beispielsweise sehr gezielte eingesetzt saisonale und topaktuelle Köder. In diesem Zusammenhang beobachtete Proofpoint zum Beispiel am 23. September, dass in den Nachrichten häufiger als sonst von Edward Snowden die Rede war und die Cyberkriminellen ihre Köder entsprechend anpassten.

Aufwärtstrend in den DDoS-Angriffen Mit DDoS-Angriffen Lösegeld erpressen