Trickbot bleibt an der Spitze

Wie schon im August dominieren auch im September 2021 der Banken-Trojaner Trickbot, der Infostealer Formbook und der Remote-Access-Trojaner (RAT) AgentTesla die Schweizer Liste der «Most Wanted Malware» von Check Point Software Technologies. Mit seiner Schadsoftware-«Hitparade» ermittelt der Cybersecurity-Spezialist jeden Monat die Malware-Typen, die das Forscherteam von Check Point auf Unternehmensrechnern der Schweiz und weltweit am häufigsten gefunden und ausgefiltert hat.

Immerhin könnten die Tage von Trickbot an der Spitze der Schweizer und globalen Malware-Topten gezählt sein. Denn wie Maya Horowitz, die bei Check Point sowohl für Aufklärung und Forschung von Bedrohungen als auch für entsprechende Produkte zuständig ist, berichtet, sei einers der Trickbot-Gangmitglieder aufgrund einer US-Untersuchung festgenommen worden. «Neben weiteren Anklagen, die in diesem Jahr im Kampf gegen den Trojaner eingereicht wurden, hoffen wir, dass die Dominanz der Bande bald beschnitten wird», hofft Horowitz.

Aber wie immer sei es noch ein weiter Weg, fügt sie an und verweist auf hauseigene Untersuchungen, wonach im Jahr 2021 im Vergleich zu 2020 weltweit 40 Prozent mehr Angriffe pro Woche auf Organisationen stattgefunden hätten (Computerworld berichtete bereits).

Auffallend an der Top-Malware-Liste für September ist zudem die Häufung von Backdoors. So fällt etwa Valyria als Chart-Neuzugang auf. Bei dieser Malware handelt es sich um eine Backdoor, die es auf die Windows-Plattform abgezielt hat. Gemäss Berichten wurde diese Malware in einigen asiatischen Ländern für gezielte Angriffe verwendet und weist eine gewisse Ähnlichkeit mit der «MuddyWater»-Kampagne auf, die es auf Ziele im Nahen Osten abgesehen hat. Valyria wird dabei von einem Microsoft-Word-Dokument mit aktiviertem Makro auf dem infizierten System abgelegt sowie von einem VisualBasic-Skript geladen und ausgeführt.

Die Malware sammelt sodann Systeminformationen und schickt diese an einen Remote-Server. Valyria ist auch in der Lage, das System frisch zu booten, Screenshots zu erstellen und verschlüsselte Informationen an jenen Server hochzuladen, über den die Malware gesteuert wird.

Die Malware ist darüber hinaus auch in der Lage, beliebige Powershell-Befehle auszuführen und die Ergebnisse dieser Befehlsausführungen an den zur Fernsteuerung genutzten Server zurückzusenden. Schliesslich weiss Valyria für Persistenz auf dem infizierten System zu sorgen, indem ein «Run Key»-Eintrag in der Registry hinterlegt wird. Denn dadurch wird die Schadsoftware bei jedem Anwender-Login automatisch ausgeführt.