IcedID drängt sich an die Spitze

Ein neuer Banking-Trojaner macht sich in der Schweiz breit

Uhr
von Coen Kaat und jor

Im März haben gleich vier Banking-Trojaner die Schweizer IT-Landschaft besonders stark heimgesucht. Allen voran IcedID. Ein Neuling auf Check Points "Most Wanted Malware"-Liste. Nächsten Monat könnte aber schon ein anderer Schädling die Liste anführen: die aktuelle Nummer 2.

(Source: Gwengoat / iStock.com)
(Source: Gwengoat / iStock.com)

Vergangenen März hat sich ein neues Schadprogramm an die Spitze von Check Points "Most Wanted Malware"-Liste gedrängt. In der Schweiz wird die monatlich erfasste Liste neu von IcedID angeführt. Hierzulande waren 8,27 Prozent der Unternehmen von diesem Banking-Trojaner betroffen.

Global war das Schadprogramm sogar noch aktiver: Den weltweiten Impact beziffert der israelische Cybersecurity-Anbieter mit 11,18 Prozent. Trotzdem reichte es nicht, um auch weltweit die Spitze zu erklimmen. Ein weiterer Banking-Trojaner, Dridex, führt die globale Liste mit 16,4 Prozent an.

IcedID ist laut Mitteilung seit September 2017 aktiv. Der Trojaner versucht, auf infizierten Geräten etwa Kontoinformationen und Zahlungsdetails seiner Opfer zu stehlen. Dazu nutzt er Web-Injection- und auch Redirection-Attacken mittels lokalen Proxys, um die Opfer auf gefälschte Websites umzulenken. Zudem kann der Schädling auch weitere Malware auf einen infizierten Rechner laden – darunter etwa die Ransomware-Programme RansomExx, Maze, und Egregor.

QBot dann IcedID dann QBot

Der steile Aufstieg von IcedID ist auch Corona-bedingt. Der Trojaner verbreitet sich via Spam-Kampagnen. Eine besonders breit angelegte Kampagne habe sich die Unsicherheit und Furcht rund um Covid-19 zunutze gemacht, um neue Opfer zu finden.

Dem Aufstieg könnte nun aber der Fall folgen. IcedID und QBot tauschen sich nämlich ab. Qbot ist die in der Schweiz am zweithäufigsten verbreitete Malware und ebenfalls ein Banking-Trojaner.

Anfang des Jahres beobachteten Sicherheitsexperten verschiedener Firmen eine Spam-Kampagne, die den Qbot-Trojaner verbreitete. Kurz darauf wurde die Nutzlast allerdings ausgetauscht, wie "Bleeping Computer" berichtet.

Im Februar verbreiteten die URLs, die zuvor noch QBOT ausgespuckt hatten, neu IcedID. Nach etwa 6 Wochen wechselten die Cyberkriminellen allerdings wieder zurück zu QBot.

Dies deute auf ein ziemlich grosses Update von QBot hin, zitiert "Bleeping Computer" den Malware-Analysten James Quinn. Dieses Update könnte etwa veränderte Entschlüsselungsalgorithmen für die interne Konfiguration bringen.

Check Points vollständige "Most Wanted Malware"-Liste für die Schweiz im März

  1. IcedID (Banking-Trojaner): 8,27 Prozent der Schweizer und 11,8 Prozent der globalen Firmen betroffen.

  2. QBot (Banking-Trojaner): 4,13 Prozent der Schweizer und 6,53 Prozent der globalen Firmen betroffen.

  3. Dridex (Banking-Trojaner): 4,13 Prozent der Schweizer und 16,4 Prozent der globalen Firmen betroffen.

  4. Trickbot (Botnet und Banking-Trojaner): 2,38 Prozent der Schweizer und 4,04 Prozent der globalen Firmen betroffen.

  5. Lokibot (Infostealer): 2,07 Prozent der Schweizer und 9,39 Prozent der globalen Firmen betroffen.

  6. Agenttesla (RAT): 2,07 Prozent der Schweizer und 6,83 Prozent der globalen Firmen betroffen.

  7. Formbook (Infostealer): 1,59 Prozent der Schweizer und 2,95 Prozent der globalen Firmen betroffen.

  8. Dameware (Remote Monitoring): 1,43 Prozent der Schweizer und 0,04 Prozent der globalen Firmen betroffen.

  9. XMRig (Cryptominer): 1,27 Prozent der Schweizer und 3,28 Prozent der globalen Firmen betroffen.

  10. Blindingcan (RAT): 1,11 Prozent der Schweizer und 0,38 Prozent der globalen Firmen betroffen.

  11. Neshta (Trojaner): 1,11 Prozent der Schweizer und 1,36 Prozent der globalen Firmen betroffen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_213775