Seit seinem erneuten Auftauchen im März 2023 versetzt der Android-Banking-Trojaner „Anatsa“ Nutzerinnen und Nutzer weltweit in Alarmbereitschaft - auch in Deutschland. Den Cyberkriminellen ist es gelungen, ihren Schadcode in Apps zu verstecken, die über Google Play heruntergeladen werden können.

Das Sicherheitsunternehmen ThreatFabric hat alarmierende Daten veröffentlicht, wonach die Malware bereits über 30.000 Mal von Google Play heruntergeladen wurde. Deutschland belegt den unglücklichen dritten Platz bei der Anzahl der Installationen. Anatsa versteckt sich vor allem in PDF-Viewer-Apps, Editor-Apps und Office-Anwendungen für Android.

Nachdem ThreatFabric Google auf die schädlichen Apps aufmerksam gemacht hatte, wurden diese umgehend entfernt. Trotzdem gelingt es den Angreifern immer wieder, neue Apps mit eingebetteter Malware hochzuladen. Dabei verfolgen sie eine raffinierte Strategie: Zunächst werden die Apps ohne Schadcode hochgeladen und bestehen so die Google-Prüfung. Spätere Updates enthalten dann den Schadcode.

Anatsa ist keine neue Cyberbedrohung. Bereits im November 2021 gelang es Hackern, diesen Trojaner in Google Play einzuschleusen. Damals wurde die infizierte App über 300.000 Mal installiert.

Sobald eine mit Anatsa infizierte App auf einem Android-Gerät installiert ist, löst sie den Download weiterer Schadsoftware aus. Häufig tarnt sie sich als Texterkennungs-Add-on für Adobe Illustrator. Anatsa sammelt Bank- und Kreditkartendaten, indem es Benutzer auf gefälschte Websites lockt und sie dazu verleitet, ihre sensiblen Daten preiszugeben.

Ein weiteres erschreckendes Merkmal von Anatsa ist der Einsatz eines Keyloggers, der Tastatureingaben aufzeichnet. Die erbeuteten Daten werden missbraucht, um betrügerische Transaktionen im Namen des Opfers durchzuführen. Das gestohlene Geld wird in Kryptowährung umgewandelt und über ein komplexes Netzwerk ins Zielland transferiert.

→ weiterlesen

Die Ransomware-Gruppe Clop hat über eine Zero-Day-Schwachstelle mit der Bezeichnung CVE-2023-34362 in der Datentransfer-Software Moveit erfolgreich mehrere Unternehmen angegriffen, darunter auch Siemens Energy.

Siemens Energy, ein globaler Energieriese mit einem Umsatz von rund 29 Milliarden Euro und mehr als 92.000 Mitarbeitern in über 90 Ländern, hat den Datenabfluss gegenüber Bleeping Computer bestätigt. Siemens Energy ist ein Unternehmen, das auf die Bereitstellung von Lösungen für Energieerzeugung (Turbinen und Generatoren), -verteilung und -übertragung (Transformatoren und Schaltanlagen) spezialisiert ist. Das Unternehmen ist aus der Siemens AG hervorgegangen.

Interessanterweise bietet Siemens Energy auch Beratungsdienstleistungen im Bereich Cybersicherheit für die Öl- und Gasindustrie an. Der aktuelle Cyberangriff unterstreicht die Notwendigkeit starker Cybersicherheitsmaßnahmen nicht nur für ihre Kunden, sondern auch für ihr eigenes Unternehmen.

Das Unternehmen versichert, dass trotz des Angriffs keine kritischen Daten abgeflossen sind und der Geschäftsbetrieb ungestört weiterläuft. Sofortmaßnahmen wurden ergriffen, um die Auswirkungen des Cyberangriffs zu begrenzen.

Siemens Energy ist bereits auf der Datenleck-Seite der Ransomware-Gruppe Clop gelistet. Die Ransomware-Gruppe ist dafür bekannt, Unternehmen zunächst auf ihrer Datenleck-Seite zu listen, bevor sie weitere Schritte unternimmt. Dieser Schritt dient dazu, Druck auf die Unternehmen auszuüben und ihre Forderungen durchzusetzen, bevor sie die gestohlenen Daten veröffentlichen.

PayPal hat eine wichtige Neuerung im Bereich der Nutzersicherheit angekündigt. In Kürze wird das Unternehmen in Deutschland die Authentifizierung mittels Passkeys einführen. Damit soll den Kundinnen und Kunden mehr Sicherheit beim Einkaufen und Bezahlen im Internet geboten werden.

Passkeys sind ein Produkt der Zusammenarbeit zwischen der FIDO Alliance und dem World Wide Web Consortium. Sie sind als innovative Lösung für einige der gravierendsten Sicherheitsprobleme im Internet konzipiert, die durch Schwachstellen in der traditionellen Passwortauthentifizierung verursacht werden.

Im Gegensatz zu herkömmlichen Passwörtern, die anfällig für Phishing und Malware-Angriffe sind, bietet die Passkey-Technologie eine robustere und sicherere Methode zur Benutzerauthentifizierung. Sie verwendet ein kryptografisches Element, das Passwörter ersetzt und weder vom Benutzer selbst noch von Unbefugten gelesen oder eingegeben werden kann. Dadurch ist es für Hacker nahezu unmöglich, an die Zugangsdaten zu gelangen.

→ weiterlesen

Apple hat angekündigt, in den neuesten Versionen von iOS 17, iPadOS 17 und macOS 14 standardmäßig die Kommunikationssicherheitsfunktion zu aktivieren, die Betriebssysteme nach Nacktbildern durchsucht. Diese Änderung betrifft Nutzerinnen und Nutzer unter 13 Jahren und wird noch in diesem Jahr weltweit eingeführt. Bisher mussten Eltern die Funktion manuell aktivieren, um ihre Kinder davor zu schützen, Nacktbilder in der Messaging-App zu sehen oder zu teilen.

Die als "Communication Safety" bekannte Technologie arbeitet lokal und durchsucht nicht die iCloud. Sie wird auf das gesamte System ausgeweitet, einschließlich iMessage, Photo Picker, AirDrop, FaceTime Video Messaging und Anwendungen von Drittanbietern über eine API. Die Technologie kann sowohl Standbilder als auch Videos scannen.

Das ursprünglich geplante Scan-Tool für kinderpornografisches Material (CSAM) hat Apple nach heftiger öffentlicher Kritik nicht eingeführt. Stattdessen wird die "Communication Safety"-Funktion als Instrument zur Eindämmung der Verbreitung solchen Materials gesehen. Ziel von Apple ist es, durch das Scannen und Identifizieren von Nacktbildern "möglichen Kindesmissbrauch zu unterbinden, bevor er stattfinden kann".

Die ursprüngliche Scan-Strategie von CSAM sah vor, dass Apple-Mitarbeiter bei etwa 30 Treffern informiert werden sollten. Diese Mitarbeiter hätten dann eine niedrig aufgelöste Version des betreffenden Bildmaterials entschlüsseln und sichten sollen. Beim Auffinden von CSAM-Material sollte die Kinderschutzorganisation NCMEC in den USA kontaktiert werden.

Mit der nun geplanten Vorgehensweise will Apple die Verbreitung von ungeeignetem Material reduzieren und gleichzeitig den Bedenken hinsichtlich der Privatsphäre der Nutzer Rechnung tragen.

Mehrere Sicherheitslücken im BIOS von Dell-PCs könnten Angreifern die Möglichkeit bieten, Schadsoftware zu verbreiten und die vollständige Kontrolle über betroffene Computer zu erlangen. Dell hat inzwischen Sicherheitsupdates zur Behebung dieser Schwachstellen bereitgestellt und empfiehlt Nutzern der betroffenen Modelle dringend, diese Updates zu installieren.

Die gefährlichste der als "hoch" eingestuften Sicherheitslücken mit der Bezeichnung CVE-2023-28073 betrifft die Modelle Latitude 5530 und Precision 3570. Authentifizierungsfehler können es bereits authentifizierten lokalen Angreifern ermöglichen, erweiterte Benutzerrechte zu erlangen und im schlimmsten Fall die vollständige Kontrolle über das System zu übernehmen. Dell hat diese Schwachstelle mit der BIOS-Version 1.13.2 behoben.

Eine weitere als "mittel" eingestufte Sicherheitslücke (CE-2023-32480) ermöglicht es einem Angreifer mit physischem Zugriff auf den betroffenen PC, ohne Authentifizierung die vollständige Kontrolle zu übernehmen. Die Schwachstelle ist auf unzureichende Eingabe-Prüfungen zurückzuführen und betrifft mehrere Modelle, darunter Inspiron und Vostro. Dell hat in einer Sicherheitswarnung die jeweiligen BIOS-Versionen aufgelistet, die gegen diese Art von Angriff geschützt sind.

Eine dritte, als "niedrig" eingestufte Sicherheitslücke (CVE-2023-28064) könnte von Angreifern ausgenutzt werden, um einen Denial-of-Service (DoS)-Zustand auszulösen. Die Schwachstelle basiert auf einem Speicherfehler, der als "Out-of-Bounds"-Bedingung bezeichnet wird. Details zu den betroffenen Modellen und den korrigierten BIOS-Firmware-Versionen finden sich in einer separaten Sicherheitswarnung von Dell.

Bislang liegen keine Berichte vor, dass diese Sicherheitslücken bereits für Angriffe ausgenutzt wurden. Dennoch raten Sicherheitsexperten und Dell selbst, die verfügbaren Updates schnellstmöglich zu installieren, um mögliche Risiken zu minimieren.

Google hat ein wichtiges Software-Update für seinen Webbrowser Chrome veröffentlicht. Das Update behebt mehrere als hochriskant eingestufte Sicherheitslücken. Wie bei Google üblich, wurden die Details der Sicherheitslücken nicht vollständig veröffentlicht, um die Nutzer vor möglichen Bedrohungen zu schützen.

Von den vier behobenen Sicherheitslücken sind drei genauer bekannt und alle als hochriskant eingestuft. Bei der ersten handelt es sich um eine "Type Confusion"-Schwachstelle in der Javascript-Engine V8 (CVE-2023-3420), die aufgrund einer Diskrepanz zwischen den tatsächlichen und den erwarteten Datentypen einen unautorisierten Speicherzugriff ermöglichte. Diese Schwachstelle wurde entdeckt und von Google mit 20.000 US-Dollar belohnt.

Zusätzlich wurden zwei Use-after-free-Lücken in den Bereichen Media und Guest View (CVE-2023-3421, CVE-2023-3422) geschlossen. Diese Schwachstellen können zu Systemabstürzen führen und das Einschleusen von Schadcode durch Zugriff auf freigegebene Ressourcen ermöglichen.

Die Updates sind für verschiedene Chrome-Versionen verfügbar: 114.0.5735.196 für Android, 114.0.5735.198 für Linux und Mac und 114.0.5735.198/199 für Windows. Nutzer werden dringend gebeten, ihre Chrome-Version zu überprüfen und zu aktualisieren, um sicherzustellen, dass sie diese neuen Versionen verwenden.

Da auch andere auf Chromium basierende Webbrowser wie Microsoft Edge von den Sicherheitslücken betroffen sein könnten, wird Nutzern dieser Browser dringend empfohlen, die entsprechenden Sicherheitsupdates zeitnah einzuspielen.

→ weiterlesen

In den letzten Tagen haben viele Lastpass-Nutzer berichtet, dass sie nicht mehr auf ihre Konten zugreifen können. Dies ist auf ein kürzlich durchgeführtes Sicherheitsupdate des Passwortmanagers (Password-Based Key Derivation Function 2) zurückzuführen.

Im Rahmen dieses Updates müssen die Nutzer ihre Multi-Faktor-Authentifizierung (MFA) zurücksetzen. Einige Nutzer, die diesen Schritt bereits durchgeführt haben, berichten jedoch, dass sie immer noch keinen Zugriff auf ihre Konten haben. Ein weiteres Problem ist, dass viele Nutzer den Support nicht erreichen können. Um den Support zu erreichen, ist ein Login erforderlich, der jedoch aufgrund von Problemen mit den MFA-Codes nicht funktioniert.

Besondere Schwierigkeiten haben Nutzer, die ihre E-Mail-Zugangsdaten über Lastpass verwalten. Diese Nutzer können ihr Passwort nicht zurücksetzen, da sie keinen Zugriff auf die dafür notwendige E-Mail haben.

Lastpass hat diese Änderungen eingeführt, um die Sicherheit der Master-Passwörter der Nutzer zu erhöhen. Nach den Sicherheitsvorfällen im Jahr 2022 hatte das Unternehmen seine Kunden bereits im März aufgefordert, ihre MFA zurückzusetzen. Im April folgte eine weitere Erinnerung per E-Mail und schließlich wurden die Nutzer beim nächsten Login in die Anwendung direkt aufgefordert, ihre MFA zurückzusetzen.

Laut den FAQs des Unternehmens ist ein MFA-Reset nur auf der Lastpass-Website möglich und kann nicht direkt in der Browser-Erweiterung oder der mobilen App durchgeführt werden. Dies könnte zu zusätzlichen Schwierigkeiten für Nutzer führen, die hauptsächlich über diese Plattformen auf ihre Konten zugreifen. Lastpass hat sich zu den aktuellen Problemen noch nicht geäußert.