Comretix Blog

Forscher von Check Point haben eine schädliche App namens WalletConnect im offiziellen Android-Marktplatz Google Play entdeckt, die einen sogenannten Krypto-Drainer enthält. Er soll Vermögenswerte von Nutzern stehlen. Die bösartige App ahmt das legitime WalletConnect-Protokoll nach und lässt ihre Opfer durch ausgeklügelte Social-Engineering-Techniken glauben, es handele sich um eine sichere Methode zur Übertragung von Krypto-Währungen.

Die App wurde erstmals im März 2024 auf Google Play hochgeladen und blieb dank ihrer Umgehungstechniken mehr als fünf Monate lang unentdeckt. Sie wurde über 10.000 Mal installiert und stahl, laut Blockchain Explorer, über 70 000 US-Dollar (rund 62 600 Euro) an Krypto-Währungen von ahnungslosen Opfern.

WalletConnect ist ein Open-Source-Protokoll, das sichere Verbindungen zwischen dezentralisierten Anwendungen (dApps) und Krypto-Währungs-Wallets ermöglicht. Es wurde entwickelt, um das Nutzererlebnis von dApps zu verbessern. Allerdings ist die Verbindung mit WalletConnect oft kompliziert: Nicht alle Wallets unterstützen das Protokoll und viele Nutzer verwenden nicht die neueste Version. Angreifer nutzen dies geschickt aus und bieten eine vermeintlich einfache Lösung an – wie die gefälschte WalletConnect-App auf Google Play.

Die Sicherheitsforscher konnten Token-Transaktionen von mehr als 150 Adressen identifizieren, was auf mindestens 150 Opfer hinweist. Nur 20 Nutzer, deren Geld gestohlen wurde, hinterließen negative Bewertungen auf Google Play, was darauf hindeutet, dass viele Opfer möglicherweise nicht bemerkt haben, was mit ihrem Geld passiert ist. Als die App negative Bewertungen erhielt, überfluteten die Malware-Entwickler die Seite mit gefälschten positiven Bewertungen, um die negativen zu überdecken und die App weiterhin legitim erscheinen zu lassen. Google Play hat die App aber inzwischen entfernt.

„Trotz besserer Sicherheitsvorkehrungen für Krypto-Währungs-Wallets und eines gesteigerten Bewusstseins für Gefahren finden Cyber-Kriminelle immer raffiniertere Wege, um Nutzer zu täuschen und Sicherheitsmaßnahmen zu umgehen“, teilte Check Point mit. „Crypto-Drainer, das ist Malware, die auf den Diebstahl von Krypto-Währungen ausgelegt wurde, sind zu einer bevorzugten Methode von Angreifern geworden. Durch Phishing-Websites und -Apps, die legitime Krypto-Währungs-Plattformen nachahmen, werden Nutzer verleitet, eine illegale Transaktion zu autorisieren, welche den Drainer befähigt, digitale Vermögenswerte an die Angreifer zu übertragen.“

Trend Micro hat eine neue Studie zum Umgang mit Cyberrisiken in Unternehmen veröffentlicht. Demnach mangelt es Unternehmen an Ressourcen, um Cybersecurity rund um die Uhr zu gewährleisten. Zudem sind Geschäftsführungen oft nicht bereit, ihre digitale Angriffsfläche zu erfassen und zu minimieren.

Konkret verfügen laut Trend Micro nur 33 Prozent der befragten deutschen Unternehmen über ausreichend Personal, um eine Cybersecurity rund um die Uhr an 365 Tagen im Jahr zu gewährleisten. Im weltweiten Vergleich sind es 36 Prozent.

Als weitere Schwachstelle stuft der Sicherheitsanbieter ein, dass nur 36 Prozent der Unternehmen hierzulande ein Angriffsflächen-Management betreiben, um ihr Cyberrisiko zu erfassen. In diesem Bereich liegt Deutschland einen Prozentpunkt über dem weltweiten Durchschnitt.

Nachholbedarf gibt es indes offenbar bei der Nutzung von Regelungen oder Rahmenwerken wie dem NIST Cybersecurity Framework. Hierzulande stützen sich lediglich 28 Prozent der Unternehmen solche Vorgaben – weltweit sind es 34 Prozent.

„Warum schafft es die Mehrheit der Unternehmen nicht, solche grundlegenden Cybersicherheitsmaßnahmen zu implementieren?“, kommentiert Trend Micro die Ergebnisse. „Das fehlende Gefühl von Zuständigkeit an der Spitze der Unternehmen könnte einen Erklärungsansatz liefern: Die Hälfte (50 Prozent) der deutschen Befragten (48 Prozent weltweit) gab an, dass ihre Geschäftsführungen Cybersecurity nicht als ihre Verantwortung betrachten. Nur 11 Prozent widersprechen dieser Aussage ganz und gar (17 Prozent weltweit).“

Forscher des Sicherheitsanbieters Kaspersky haben eine neue Variante des Android-Trojaners Necro im Google Play Store aufgespürt. Die neue Version schaffte es der Analyse zufolge über den offiziellen Google-Marktplatz auf mehr als 11 Millionen Android-Geräte. Unter anderem ist der Trojaner in der Lage, beliebige Apps im Hintergrund zu installieren und sogar kostenpflichtige Abonnements im Namen eines Nutzers abzuschließen.

Für die Forscher ist Necro ein alter Bekannter: Bereits 2019 versteckte sich eine Version des Trojaners in einer App namens CamScanner und erreichte so mehr als 100 Millionen Downloads weltweit. Derzeit wird der Trojaner über infizierte Apps im Play Store sowie modifizierte Versionen von Spotify und Minecraft aus inoffiziellen Quellen verbreitet.

Im Play Store sind derzeit unter anderem Game Mods mit dem Necro-Trojaner infiziert. Die neue Version verfügt laut Kaspersky über neue Techniken, um einer Erkennung zu entgehen. Unter anderem sollen die Entwickler von Necro auf Steganografie setzen, um ihren Schadcode zu verbergen.

Zum Funktionsumfang von Necro gehört das Laden von sowie interagieren mit Werbeanzeigen in nicht sichtbaren Fenstern. Der Schädling öffnet aber auch Links in nicht sichtbaren WebView-Fenstern und führt darin JavaScript-Code aus. Außerdem kann er beliebige Dateien im DEX-Format herunterladen und ausführen.

Die Zahl von mehr als 11 Millionen infizierten Geräten bezieht sich Kaspersky zufolge ausschließlich auf über den Play Store getätigte Downloads. Die Opferzahl soll, da Necro auch über inoffizielle Quellen verteilt wird, deutlich höher sein. Angriffe mit Necro registrierte Kaspersky unter anderem in Russland, Brasilien, Spanien, Italien, der Türkei und Deutschland.

In einem Bericht zeigen sie unter anderem auf, dass nach den USA und Vietnam die meisten Geräte aus Deutschland (18.900) stammen. Es wird der chinesischen Gruppe Flax Typhoon, auch bekannt als RedJuliett und Ethereal Panda, zugeschrieben, die es zu Spionagezwecken eingesetzt haben sollen. Das Botnetz nutzt die Mirai Malware-Familie, deren Quellcode 2016 veröffentlicht wurde und seitdem verwendet wird, um IoT-Geräte wie Webcams, DVRs, IP-Kameras und Router mit Linux-basierten Betriebssystemen zu übernehmen. Seit 2016 wurden verschiedene Mirai-Botnetze immer wieder zur Durchführung von DDoS-Angriffen und anderen kriminellen Aktivitäten verwendet.

Mirai weiterhin aktiv

Antoinette Hodes, Global Solutions Architect & Security Evangelist bei Check Point Software: „Wir treten in eine Ära ein, in der IoT-Geräte wie Router und Webcams tagtäglich in internationalen Cyberkonflikten als Waffen eingesetzt werden. Es gilt nach wie vor, die Lehren aus dem 2020 aufgedeckten Mirai-Botnetz umzusetzen. Leider ist Mirai noch immer aktiv und richtet weiter Schaden an. Weitere Beispiele wie die Aufdeckung des Proxy-Botnetzes RSOCK oder die jüngst bei den Ubiquity G4 Instant Sicherheitskameras veröffentlichten Sicherheitslücken verdeutlichen die Gefährdungslage. Die Warnung der Behörden vor der von China ausgehenden Kampagne zeigt, dass staatlich unterstützte Akteure diese Schwachstellen aktiv ausnutzen, um globale und kritische Netzwerke zu infiltrieren.“

Präventive Sicherheitskontrollen für IoT-Geräte

„Von China gesteuerte Kampagnen schreiben die Spielregeln neu. Niemand spricht über das Ausmaß und die größeren Risiken. Die bösartigen Akteure hinter dem Botnetz gaben sich als Experten einer Informationssicherheitsgruppe namens Integrity Technology Group aus, so dass sie über einen längeren Zeitraum unter dem Radar fliegen konnten. Es gelang ihnen, wertvolle Informationen zu erlangen und sich möglicherweise Zugang zu kritischen Infrastrukturen, Regierungsbehörden, Unternehmen und Universitäten zu verschaffen. Der Vorfall zeigt die Notwendigkeit präventiver Sicherheitskontrollen für IoT-Geräte auf. Diese sollten nach dem Zero-Tolerance-Ansatz erfolgen, um die gesamte Lieferkette abzusichern“, rät Antoine Hodes weiter.

MFA aktivieren und Software aktualisieren

Die folgenden Maßnahmen helfen, um zu verhindern, dass die eigenen Geräte Teil eines Botnetzes werden:

IoT-basierte Angriffe stark ansteigend

Bereits im letzten Jahr hatten die Sicherheitsforscher von Check Point Research eine Zunahme von IoT-basieren Angriffen festgestellt. In den ersten beiden Monaten des Jahres 2023 war die durchschnittliche Anzahl der wöchentlichen Angriffe auf IoT-Geräte pro Unternehmen im Vergleich zu 2022 um 41 Prozent gestiegen. Im Durchschnitt waren 54 Prozent der Unternehmen jede Woche von versuchten Cyberangriffen auf IoT-Geräte betroffen. Bereits damals waren europäische Unternehmen die am stärksten von Angriffen auf IoT-Geräten attackierten Firmen, gefolgt von jenen aus Asien und Lateinamerika.

Der Sicherheitsanbieter Check Point hat eine neue Phishing-Kampagne aufgedeckt. Sie nutzt das Tool Google Apps Script aus, das zur Automatisierung von Aufgaben in Google-Anwendungen verwendet wird. In Phishing-E-Mails sollen Google Apps Script-URLs indes Opfer dazu verleiten, vertrauliche Daten preiszugeben. Check Point zufolge sind die Phishing-E-Mails auch in Deutschland im Umlauf.

„Google Apps Script-Makros sind ein ideales Ziel für Cyberkriminelle, weil sie Arbeitsabläufe automatisieren und sich in verschiedene Google-Dienste integrieren können“, teilte Check Point mit. Entsprechend weit gestreut seien die Angriffe: Die Kampagne umfasse etwa 360 E-Mails in mehreren Sprachen, darunter Deutsch, Englisch, Russisch, Chinesisch, Arabisch, Italienisch und Französisch. Die E-Mails gäben fälschlicherweise vor, eine Benutzerregistrierung per Klick auf einen Link abzuschließen, die vom Empfänger jedoch nie initiiert wurde.

In der Betreffzeile enthalten die Phishing-E-Mails der Analyse zufolge einen Link, der zu einer Google Apps Script-Seite führt. Die URL wiederum führt zu einem angeblich „sicheren und vertrauenswürdigen“ Zahlungsdienst. „Da Google-Dienste und dementsprechend die zugehörigen URLs von Browsern und E-Mail-Diensten jedoch als legitim eingestuft werden, können Nutzer schnell geneigt sein, vertrauliche Informationen preiszugeben“, ergänzte Check Point.

Check Point rät Nutzern, auf E-Mails mit Betreffzeilen zu achten, die „Kontodaten“ für Registrierungen liefern, die man nie initiiert hat. Auch URLs, die „script.google.com“ enthalten und Benutzer auf Seiten leiten, die zur Eingabe persönlicher Daten auffordern, seien ein Warnsignal.

Gestrichene Flüge, ausgefallene Server und PCs, Unternehmen, die ihre Beschäftigten nach Hause schicken mussten – vor zwei Monaten, genauer gesagt am 19. Juli, ging vielerorts nichts mehr. Ein fehlerhaftes Update einer Cybersicherheitslösung des Unternehmens CrowdStrike hatte weltweit zu zahlreichen IT-Ausfällen geführt.

Welche Folgen die Panne für Unternehmen in Deutschland hatte, haben jetzt das Bundesamt für Sicherheit in der Informationstechnik, BSI, und der Digitalverband Bitkom in einer gemeinsamen Befragung von 331 von den Ausfällen betroffenen Unternehmen ermittelt. Die Untersuchung ist nicht repräsentativ, gibt aber ein aussagekräftiges Stimmungsbild.

62 Prozent der vom CrowdStrike-Desaster betroffenen Unternehmen litten unter direkten Folgen, wie dem Ausfall der eigenen PCs oder Server. 48 Prozent spürten indirekte Auswirkungen, weil zum Beispiel Zulieferer, Kunden oder Geschäftspartner betroffen waren. Knapp die Hälfte der direkt oder indirekt betroffenen Unternehmen (48 Prozent) musste daraufhin vorübergehend den Betrieb einstellen – im Schnitt für 10 Stunden.

Rund drei Viertel (73 Prozent) bezeichnen rückblickend die entstandenen Probleme und Störungen als gravierend für die deutsche Wirtschaft. Zugleich sind zwei Drittel (64 Prozent) mit Blick auf das eigene Unternehmen aber auch sicher: Ein solcher Vorfall lässt sich nicht vollständig verhindern.

Eingeschränkte Betriebsleistung

Bei den direkt betroffenen Unternehmen wurden im Schnitt 32 Prozent der PCs und Notebooks sowie 51 Prozent der Server in Mitleidenschaft gezogen. Dadurch kam es vor allem zu Systemabstürzen (83 Prozent), Anwendungen konnten nicht genutzt werden (64 Prozent) und Daten waren nicht verfügbar (58 Prozent).

Google hat die Sicherheitsfunktion Passkeys, die eine passwortlose Anmeldung bei Websites und Apps ermöglicht, überarbeitet. Passkeys lassen sich künftig auch auf Windows, macOS und Linux im Google Passwortmanager speichern, was eine unkomplizierte geräteübergreifende Nutzung im Browser Chrome ermöglicht.

Bisher erfolgte eine Speicherung im Google Passwortmanager ausschließlich auf Android-Geräten. Zur Verwendung eines gespeicherten Passkeys zur Anmeldung auf einem anderen Gerät, musste ein dort erzeugter QR-Code mit dem Android-Smartphone- oder Tablet gescannt werden. Dieser Schritt fällt künftig weg beziehungsweise wird durch die Synchronisierung gespeicherter Passkeys über den Google Passwortmanager ersetzt.

Darüber hinaus führt Google eine neue PIN für seinen Passwortmanager ein. „Diese PIN bietet eine zusätzliche Sicherheitsebene, um sicherzustellen, dass eure Passkeys durchgehend verschlüsselt sind und niemand darauf zugreifen kann“, teilte das Unternehmen mit. Zur Verwendung eines synchronisierten Passkeys auf einem neuen Gerät muss dann entweder die neue Pin oder die Displaysperre des Android-Geräts eingegeben werden.

Passkeys sind Passwörtern überlegen, da jeder Passkey aus zwei kryptografischen Schlüsseln besteht: einem öffentlichen Schlüssel, der bei dem Online-Dienst oder der App registriert ist, und einem privaten Schlüssel, der auf einem Gerät wie einem Smartphone oder Computer gespeichert ist. Statt eine Passwort bei der Anmeldung einzugeben, erfolgt die Authentifizierung per Passkey mit einer PIN oder einem biometrischen Merkmal wie Gesicht oder Fingerabdruck. Ein Konto bleibt auch dann sicher, wenn ein Hacker den öffentlichen Schlüssel einer Website erlangt, da er keinen Zugriff auf den privaten Schlüssel auf dem Gerät eines Nutzers hat.

Im ersten Halbjahr 2024 ist der Anteil der Hackerangriffe auf Fertigungsbetriebe und Industrieunternehmen auf 41 Prozent des Gesamtangriffsvolumens gestiegen. Das geht aus der aktuellen Ausgabe des Threat Intelligence Report des Sicherheitsanbieters Ontinue hervor. Im Vorjahr lag der Anteil noch bei 20 Prozent. Das entspricht einem Anstieg um 105 Prozent in diesen Wirtschaftssektoren.

Demgegenüber steht Ontinue zufolge ein bemerkenswerter Rückgang der Cyberattacken auf den Tech- und IT-Services-Sektor. Die Experten Unternehmens schreiben dies einer verbesserten Reife der Cybersecurity-Maßnahmen der Tech- und IT-Unternehmen zu.

Der Bericht weist auch auf eine deutliche Zunahme der von China ausgehenden Cyber-Operationen hin. Grund dafür seien vermutlich die anhaltende Umstrukturierung des Militärs und der Cyberstreitkräfte des Landes. Diese staatlich gesponserten Kampagnen konzentrierten sich zunehmend auf die Informationskontrolle und nutzten Zero-Day-Exploits, was die Zuordnung weiter erschwere und die globale Bedrohungslage eskalieren lasse.

Ontinue kritisiert zudem ein schwerfälliges Patch-Management. „Allein im ersten Quartal 2024 wurden 8967 CVEs (Common Vulnerabilities and Exposures) veröffentlicht, weitere 13.400 stehen noch zur Publikation aus“, teilte das Unternehmen mit. „Dennoch hinken viele Unternehmen bei der Installation von Patches hinterher, was sie anfällig für Angriffe macht, die bekannte Schwachstellen ausnutzen. Alarmierend ist, dass fünf der zehn wichtigsten Sicherheitslücken in diesem Jahr aus dem Jahr 2023 stammen. Dies zeigt, dass es für Unternehmen immer schwieriger wird, mit neuen Bedrohungen Schritt zu halten.“

Das größte Schadenspotenzial für die meisten Unternehmen gehe nach wie vor von Ransomware aus, so Ontinue weiter. Daran werde sich in absehbarer Zeit wohl auch nichts ändern. „Besonders Hackerkollektive wie Lockbit, die sich auf diese Angriffsart spezialisiert haben, gehören zu den gefährlichsten und erfolgreichsten Cyberkriminellen. Sie rufen neue Akteure wie die Hunters International auf den Plan, die die Bedrohungslage verschärfen. Auch die Gruppe Clop wird aller Voraussicht nach im Laufe des Jahres wieder mit neuen Angriffswellen durchstarten.“

Bei den Vergleichsportalen Verivox und Check24 gab es gravierende Sicherheitslücken, über die Unbefugte Zugriff auf vertrauliche Kundendaten hatten. Wie Correctiv berichtet, wurden die Schwachstellen von einem nicht näher genannten Sicherheitsforscher entdeckt, der über den Chaos Computer Club die beiden Unternehmen informierte. Demnach wurden die Datenlecks inzwischen geschlossen.

Im Gespräch mit Correctiv erklärte der Forscher, er sei über die Sicherheitslücken „gestolpert“, zuerst bei Check24 und später bei Verivox. Der Fehler sei zudem „trivial“. „Was diese beiden Sicherheitslücken für mich besonders gravierend macht, ist der stümperhafte Umgang mit Daten von Kundinnen und Kunden“, wird der IT-Experte in dem Bericht zitiert.

Der Fehler trat beim Kreditvergleich der beiden Portale auf. Auch war eine Registrierung nicht notwendig – bereits ein als Gast angemeldeter Nutzer hatte Zugriff auf Daten anderer Kunden. Dem Bericht zufolge musste lediglich eine Nummer am Ende der URL des eigenen Kreditvergleichs hoch- oder runtergezählt werden, um den Kreditvergleich eines anderen Kunden abrufen zu können.

Ein solcher Kreditvergleich erhält unter anderem Daten wie Namen und Anschriften, Einkommen, Zahl der Kinder und Details zum Arbeitsverhältnis. Bei Check24 waren der Abruf der Daten durch ein Passwort geschützt – allerdings nutzte Check24 dasselbe Passwort für alle Kunden. Verivox verzichtete indes auf ein Kennwort.

Beide Unternehmen räumten die Sicherheitslücken gegenüber Correctiv ein. Ihren Stellungnahmen zufolge wurden die Fehler kurzfristig behoben. Zur Zahl der möglicherweise Betroffenen machten beide Portale keine Angaben.