Die IT-Experten von Unit42, einer Abteilung von Palo Alto, verfolgen aufmerksam eine Cybercrime-Kampagne, die auf das Internet der Dinge (IoT) abzielt. Dabei nutzen die Angreifer Sicherheitslücken aus, um Varianten des gefürchteten Mirai-Botnets zu verbreiten.

Die Angreifer nutzen insgesamt 22 Sicherheitslücken, um vollen Zugriff auf die anfälligen Geräte zu erlangen und sie ihrem Botnet hinzuzufügen. Mit dieser Kontrolle führen sie dann weitere Angriffe wie Distributed Denial of Service (DDoS) durch.

Eine erste Welle dieser Kampagne wurde im März erkannt, als ein Shell-Downloader entdeckt wurde, der verschiedene Bot-Clients für unterschiedliche Prozessorarchitekturen herunterlädt und ausführt. Eine nachfolgende Kampagne im April nutzte denselben Shellcode-Downloader.

Die IT-Forensiker stellten fest, dass die Angreifer ständig neue Exploits hinzufügten und so immer mehr Router angriffen und in Drohnen für ihr Botnetz verwandelten. Aufgrund der Verhaltensmuster der heruntergeladenen Botnet-Clients gehen die Forscher davon aus, dass es sich um Varianten des Mirai-Botnets handelt.

→ weiterlesen

In jüngster Zeit sind mobile Endgeräte zu einem immer beliebteren Ziel von Cyberkriminellen geworden, da sie nicht nur Zugang zu mobilen Banking-Apps bieten, sondern zunehmend auch als Brücke zu Unternehmensanwendungen und IT-Netzwerken dienen.

Laut dem „Global Mobile Threat Report 2023“ von Zimperium nimmt die Zahl der Phishing-Angriffe zu. Erstaunlicherweise sind 80 % der gefälschten Websites, die für Phishing verwendet werden, speziell für mobile Geräte konzipiert oder zumindest für beide Plattformen – mobil und Desktop – optimiert.

Statistiken zeigen, dass die Wahrscheinlichkeit, auf einen Phishing-Angriff per SMS hereinzufallen, sechs- bis zehnmal höher ist als bei Angriffen per E-Mail.

Shridhar Mittal, CEO von Zimperium, weist darauf hin, dass die rasant steigende Nutzung von mobilen Geräten und Apps die Angriffsfläche vergrößert. Mobile Geräte sind aus unserem Alltag nicht mehr wegzudenken, eröffnen aber auch neue Wege für Malware-Attacken.

→ weiterlesen

Seit seinem erneuten Auftauchen im März 2023 versetzt der Android-Banking-Trojaner „Anatsa“ Nutzerinnen und Nutzer weltweit in Alarmbereitschaft – auch in Deutschland. Den Cyberkriminellen ist es gelungen, ihren Schadcode in Apps zu verstecken, die über Google Play heruntergeladen werden können.

Das Sicherheitsunternehmen ThreatFabric hat alarmierende Daten veröffentlicht, wonach die Malware bereits über 30.000 Mal von Google Play heruntergeladen wurde. Deutschland belegt den unglücklichen dritten Platz bei der Anzahl der Installationen. Anatsa versteckt sich vor allem in PDF-Viewer-Apps, Editor-Apps und Office-Anwendungen für Android.

Nachdem ThreatFabric Google auf die schädlichen Apps aufmerksam gemacht hatte, wurden diese umgehend entfernt. Trotzdem gelingt es den Angreifern immer wieder, neue Apps mit eingebetteter Malware hochzuladen. Dabei verfolgen sie eine raffinierte Strategie: Zunächst werden die Apps ohne Schadcode hochgeladen und bestehen so die Google-Prüfung. Spätere Updates enthalten dann den Schadcode.

Anatsa ist keine neue Cyberbedrohung. Bereits im November 2021 gelang es Hackern, diesen Trojaner in Google Play einzuschleusen. Damals wurde die infizierte App über 300.000 Mal installiert.

Sobald eine mit Anatsa infizierte App auf einem Android-Gerät installiert ist, löst sie den Download weiterer Schadsoftware aus. Häufig tarnt sie sich als Texterkennungs-Add-on für Adobe Illustrator. Anatsa sammelt Bank- und Kreditkartendaten, indem es Benutzer auf gefälschte Websites lockt und sie dazu verleitet, ihre sensiblen Daten preiszugeben.

Ein weiteres erschreckendes Merkmal von Anatsa ist der Einsatz eines Keyloggers, der Tastatureingaben aufzeichnet. Die erbeuteten Daten werden missbraucht, um betrügerische Transaktionen im Namen des Opfers durchzuführen. Das gestohlene Geld wird in Kryptowährung umgewandelt und über ein komplexes Netzwerk ins Zielland transferiert.

→ weiterlesen

Die Ransomware-Gruppe Clop hat über eine Zero-Day-Schwachstelle mit der Bezeichnung CVE-2023-34362 in der Datentransfer-Software Moveit erfolgreich mehrere Unternehmen angegriffen, darunter auch Siemens Energy.

Siemens Energy, ein globaler Energieriese mit einem Umsatz von rund 29 Milliarden Euro und mehr als 92.000 Mitarbeitern in über 90 Ländern, hat den Datenabfluss gegenüber Bleeping Computer bestätigt. Siemens Energy ist ein Unternehmen, das auf die Bereitstellung von Lösungen für Energieerzeugung (Turbinen und Generatoren), -verteilung und -übertragung (Transformatoren und Schaltanlagen) spezialisiert ist. Das Unternehmen ist aus der Siemens AG hervorgegangen.

Interessanterweise bietet Siemens Energy auch Beratungsdienstleistungen im Bereich Cybersicherheit für die Öl- und Gasindustrie an. Der aktuelle Cyberangriff unterstreicht die Notwendigkeit starker Cybersicherheitsmaßnahmen nicht nur für ihre Kunden, sondern auch für ihr eigenes Unternehmen.

Das Unternehmen versichert, dass trotz des Angriffs keine kritischen Daten abgeflossen sind und der Geschäftsbetrieb ungestört weiterläuft. Sofortmaßnahmen wurden ergriffen, um die Auswirkungen des Cyberangriffs zu begrenzen.

Siemens Energy ist bereits auf der Datenleck-Seite der Ransomware-Gruppe Clop gelistet. Die Ransomware-Gruppe ist dafür bekannt, Unternehmen zunächst auf ihrer Datenleck-Seite zu listen, bevor sie weitere Schritte unternimmt. Dieser Schritt dient dazu, Druck auf die Unternehmen auszuüben und ihre Forderungen durchzusetzen, bevor sie die gestohlenen Daten veröffentlichen.

PayPal hat eine wichtige Neuerung im Bereich der Nutzersicherheit angekündigt. In Kürze wird das Unternehmen in Deutschland die Authentifizierung mittels Passkeys einführen. Damit soll den Kundinnen und Kunden mehr Sicherheit beim Einkaufen und Bezahlen im Internet geboten werden.

Passkeys sind ein Produkt der Zusammenarbeit zwischen der FIDO Alliance und dem World Wide Web Consortium. Sie sind als innovative Lösung für einige der gravierendsten Sicherheitsprobleme im Internet konzipiert, die durch Schwachstellen in der traditionellen Passwortauthentifizierung verursacht werden.

Im Gegensatz zu herkömmlichen Passwörtern, die anfällig für Phishing und Malware-Angriffe sind, bietet die Passkey-Technologie eine robustere und sicherere Methode zur Benutzerauthentifizierung. Sie verwendet ein kryptografisches Element, das Passwörter ersetzt und weder vom Benutzer selbst noch von Unbefugten gelesen oder eingegeben werden kann. Dadurch ist es für Hacker nahezu unmöglich, an die Zugangsdaten zu gelangen.

→ weiterlesen

Apple hat angekündigt, in den neuesten Versionen von iOS 17, iPadOS 17 und macOS 14 standardmäßig die Kommunikationssicherheitsfunktion zu aktivieren, die Betriebssysteme nach Nacktbildern durchsucht. Diese Änderung betrifft Nutzerinnen und Nutzer unter 13 Jahren und wird noch in diesem Jahr weltweit eingeführt. Bisher mussten Eltern die Funktion manuell aktivieren, um ihre Kinder davor zu schützen, Nacktbilder in der Messaging-App zu sehen oder zu teilen.

Die als „Communication Safety“ bekannte Technologie arbeitet lokal und durchsucht nicht die iCloud. Sie wird auf das gesamte System ausgeweitet, einschließlich iMessage, Photo Picker, AirDrop, FaceTime Video Messaging und Anwendungen von Drittanbietern über eine API. Die Technologie kann sowohl Standbilder als auch Videos scannen.

Das ursprünglich geplante Scan-Tool für kinderpornografisches Material (CSAM) hat Apple nach heftiger öffentlicher Kritik nicht eingeführt. Stattdessen wird die „Communication Safety“-Funktion als Instrument zur Eindämmung der Verbreitung solchen Materials gesehen. Ziel von Apple ist es, durch das Scannen und Identifizieren von Nacktbildern „möglichen Kindesmissbrauch zu unterbinden, bevor er stattfinden kann“.

Die ursprüngliche Scan-Strategie von CSAM sah vor, dass Apple-Mitarbeiter bei etwa 30 Treffern informiert werden sollten. Diese Mitarbeiter hätten dann eine niedrig aufgelöste Version des betreffenden Bildmaterials entschlüsseln und sichten sollen. Beim Auffinden von CSAM-Material sollte die Kinderschutzorganisation NCMEC in den USA kontaktiert werden.

Mit der nun geplanten Vorgehensweise will Apple die Verbreitung von ungeeignetem Material reduzieren und gleichzeitig den Bedenken hinsichtlich der Privatsphäre der Nutzer Rechnung tragen.