Malwarezahlen erstes Halbjahr 2018: Die Gefahr lauert im Web

Zurück zu

logo-gdataSchadsoftware kommt immer häufiger aus dem Web und bedient sich ausgefallener Methoden, um auf dem System Code auszuführen. Besonders einen Trend konnten die G DATA-Sicherheitsexperten im ersten Halbjahr ausmachen.

Genau wie die IT-Industrie insgesamt ist die Entwicklung aktueller Malware-Familien und deren Einsatz starken Schwankungen unterworfen. Das zeigen auch die aktuellen Analysen aus den G DATA-SecurityLabs: Neun der zehn meisterkannten Schädlinge für PC-Nutzer aus dem vergangenen Jahr waren im ersten Halbjahr 2018 nicht mehr in den Top10 der abgewehrten Bedrohungen vertreten. Die Angriffe kommen zudem stärker aus dem Web als vorher.

„Klassischerweise wurde Malware vor allem über ausführbare Dateien verbreitet. Wir sehen aber eine deutliche Zunahme webbasierter Angriffe, die zum Teil auch ganz ohne Dateien auskommen,“ sagt Ralf Benzmüller, Executive Speaker G DATA Security Labs. „Ebenfalls verbreitet sind Angriffe über Makros in Dokumenten, die Nutzer zur Interaktion auffordern. Die immer schnelleren Entwicklungszyklen von Malware führen dazu, dass Nutzer nur mit proaktiven Technologien aus den G DATA Security Labs umfassend geschützt sind.“

Die Statistiken von G DATA Security Labs

Die folgenden Statistiken basieren auf der eigenen Datenerhebung der G DATA Security Labs. Dabei handelt es sich um die sogenannte Malware Information Initiative (MII), bei der G DATA-Kunden freiwillig statistische Daten über erkannte und abgewehrte Bedrohungen an das Unternehmen übermitteln können. Dies ermöglicht eine zielgenauere Analyse aktueller Samples in Bezug auf derzeit kursierende Bedrohungen.

Cryptojacking im Browser

Eine besondere Bedeutung hatte im ersten Halbjahr das sogenannten Cryptojacking – also das heimliche Schürfen von Kryptowährungen, meist Monero. Besonders im ersten Quartal dieses Jahres waren Cryptominer auf zahlreichen Webseiten versteckt, die entsprechende Skripte auf den Rechner der Nutzer herunterladen und dann eine hohe Prozessorlast verursachen. In einigen Fällen sind die Mining-Funktionen aber auch in ausführbaren Dateien wie dem Spiel Abstractionism zu finden.

Nicht immer ist eindeutig erkennbar, ob Nutzer einer solchen Aktion zugestimmt haben, oder nicht. Deswegen wird Kryptomining von G DATA teils als Malware eingestuft – wenn die Intention eindeutig bösartig ist – und in manchen Fällen als „Potentiell unerwünschtes Programm“ (PUP).  Unter den Top10 der abgewehrten Malware-Bedrohungen finden sich gleich drei Coin-Miner, unter den Top10 der abgewehrten PUP-Erkennungen sogar vier.

Neu ist dabei vor allem, dass der Bytecode Webassembly nicht nur in webseitenbasierten Minern eingesetzt wird, sondern auch in Malware. Webassembly gilt als Ergänzung zu Javascript, und wird mittlerweile von allen verbreiteten Browsern unterstützt. Mit Webassembly können Webentwickler deutlich schnellere Ladezeiten und eine schnellere Ausführung von Code erreichen – für einen Coin-Miner ist der Webstandard also ideal.

Auch der Trend zu dateiloser Malware setzt sich fort: Immer häufiger nutzt Malware weniger bekannte Windows-Systemfunktionen, um mit Kommandozeilenskripten wie Bash und Powershell schädliche Befehle auszuführen. So konnten die G DATA-Sicherheitsforscher über die heuristische Erkennung der Voiv-Malware (Platz fünf und neuen der Malware-Top10) zahlreiche Angriffe blockieren, die „Geplante Aufgaben“ in Windows nutzen, um Veränderungen am System vorzunehmen. Damit sie in der Liste mit Aufgaben nicht auffallen, tarnen sie sich als Browser-bezogene Prozesse. Sie führen je nach Variante verschiedenen Code aus – etwa um die Malware selbst zu aktualisieren oder weitere Schadmodule nachzuladen. Weil dabei keine Dateien auf der Festplatte des Opfers gespeichert werden, müssen Virenscanner andere Methoden anwenden, um die Schadsoftware zu finden.

Chronischen Sicherheitprobleme

Ebenfalls als chronisches Sicherheitsproblem bekannt ist Adobes Flash-Plugin. Eine Sicherheitslücke aus dem Jahr 2017 (CVE-2017-3077) rangierte in den im ersten Halbjahr abgewehrten Bedrohungen auf dem siebten Platz. Dabei wird ein manipuliertes Bild im PNG-Format genutzt, um einem Nutzer Schadcode unterzuschieben und die Sicherheitslücke auszunutzen. Ist so ein Brückenkopf für den Angriff geschaffen, kann weiterer Schadcode nachgeladen werden. G DATA rät dazu, Adobes Flash-Player nicht mehr zu nutzen und ihn zu deinstallieren. Wer darauf nicht verzichten kann, sollte Updates immer umgehend einspielen, um sich abzusichern.

Gamer, aufgepasst!

Auf den Plätzen vier und acht sind generische Erkennungen von Malware zu finden, die sich als gecrackte Versionen von Spielen tarnen. Malwareautoren verstecken ihren Schadcode häufig in Spielen, nicht nur auf Windows-Rechnern. Zuletzt hatte G DATA vor gefälschten Versionen der Fortnite-App für Android gewarnt.

Bei den Erkennungen von Potentiell unerwünschten Programmen (PUP) sind neben den Monero-Minern weiterhin Programme vertreten, die ungefragt die Browsereinstellungen der Nutzer manipulieren – also etwa die eingestellte Startseite oder die voreingestellte Suchmaschine ändern oder nervige Toolbars installieren. Seit Jahren bekannt sind in diesem Bereich „Open Candy“ und das „Mindspark“-Framework, die sich vor allem in Freeware-Installern verstecken. Diese werden offensichtlich auch weiterhin verbreitet und von den G DATA-Lösungen erkannt. Interessant ist, das mit Win32.Application.DownloadGuide.T mittlerweile auch als PUP klassifizierte Software virtuelle Maschinen erkennt und so versucht, der Erkennung durch Antivirenprogramme zu entgehen indem sie in diesem Fall weniger aggressiv vorgeht.

Abgewehrte Angriffe leicht rückläufig

Die Rückmeldungen zu abgewehrten Angriffen lagen im vergangenen Halbjahr leicht unterhalb der Werte aus dem Vorjahr. Insbesondere im zweiten Quartal 2018 waren die gemeldeten Werte geringer als zuvor.

Die Statistiken zeigen auch, dass die Malware-Situation sich je nach Land sehr deutlich unterscheidet. Die meisten verhinderten Infektionen mit Malware und PUP wurden im ersten Halbjahr 2018 aus der Türkei gemeldet – mit einem deutlichen Abstand vor dem zweitplatzierten Israel. In der Türkei haben die G DATA-Sicherheitslösungen vor allem Infektionen mit bekannten Tools zum Cracken von Microsoft-Software verhindert. Deutschland liegt bei den abgewehrten Bedrohungen im Mittelfeld.

Leicht rückläufig waren im ersten Halbjahr im Vergleich zum Vorjahr auch die Entwicklung neuer Malwaretypen. Insgesamt haben die G DATA Security Labs 2.396.830 neue Samples als schädlich klassifiziert. Im Durchschnitt wurden an jedem Tag rund 13.000 neue Malware-Samples entdeckt, also etwa 9 pro Minute. Zu den Zahlen sagt Benzmüller: „Wir erwarten, dass die Zahl neuer Malwaretypen im zweiten Halbjahr wieder leicht ansteigt. Es wird zwar voraussichtlich kein Rekordjahr. Aber die einzelnen Angriffe werden immer raffinierter und zielgerichteter.“


Über GDATA

IT Security wurde in Deutschland erfunden: Die G DATA Software AG gilt als Erfinder des Antivirus. Das 1985 in Bochum gegründete Unternehmen hat vor mehr als 30 Jahren das erste Programm gegen Computerviren entwickelt. Heute gehört G DATA zu den weltweit führenden Anbietern von IT-Security-Lösungen.
Testergebnisse beweisen: IT Security „Made in Germany“ schützt Internetnutzer am besten. Seit 2005 testet die Stiftung Warentest Internet Security-Produkte. In allen zehn Tests, die von 2005 bis 2017 durchgeführt wurden, erreichte G DATA die beste Virenerkennung. In Vergleichstests von AV-TEST demonstriert G DATA regelmäßig beste Ergebnisse bei der Erkennung von Computerschädlingen. Auch international wurde G DATA Internet Security von unabhängigen Verbrauchermagazinen als bestes Internetsicherheitspaket ausgezeichnet – u.a. in Australien, Belgien, Frankreich, Italien, den Niederlanden, Österreich, Spanien und den USA.
Das Produktportfolio umfasst Sicherheitslösungen für Endkunden, den Mittelstand und für Großunternehmen. G DATA Security-Lösungen sind weltweit in mehr als 90 Ländern erhältlich.
G DATA ist Lösungspartner der Microsoft Cloud Deutschland und ist als einziger Antiviren-Hersteller mit einer speziell auf die Azure-Architektur abgestimmten Managed Endpoint Security vertreten.
Weitere Informationen zum Unternehmen und zu G DATA Security-Lösungen finden Sie unter www.gdata.de.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Zurück zu