TEMPE, Ariz. / PRAG, 09. Februar 2023 — Avast, ein führender Anbieter von digitalen Sicherheits- und Privatsphäre-Lösungen und Teil von GenTM (NASDAQ: GEN), veröffentlicht heute seinen Q4 / 2022-Threat Report. Für das letzte Quartal beobachteten die Avast- Forscher*innen eine Zunahme von Bedrohungen, die Social-Engineering-Taktiken einsetzen, um Geld zu stehlen. Dabei stechen besonders Rückerstattungs- und Rechnungsbetrug aber auch Betrug im Bereich technischer Support (Tech Support Scam) heraus. Auch in den Bereichen Spionage und Informationsdiebstahl haben die Cyberkriminellen nicht geschlafen, wobei hier auch Adware-Kampagnen für die Teilnahme an Lotterien als Taktik eingesetzt wurden, um an die Kontaktdaten von Personen zu gelangen. Die Threat Researcher von Avast entdeckten außerdem Zero-Day-Schwachstellen in Google Chrome und Windows. Diese Schwachstellen wurden inzwischen gepatcht.
Rückerstattungs- und Rechnungsbetrug sowie Tech Support Scam als beliebte Taktiken
Die Avast-Forscher*innen beobachteten eine Zunahme von Betrugsaktivitäten im Bereich des technischen Supports. In Deutschland liegt das Risiko, Opfer von Tech Support Scam zu werden bei 4,02 Prozent im Monat. Im Vergleich zu Q3 entspricht das einer Zunahme von 3,3 Prozent. Opfer dieser Betrugsart denken, sie stehen in direktem Kontakt mit Kundenberater*innen, die ihnen bei ihren „vermeintlichen“ technischen Problemen weiterhelfen. Oft beginnt dieser Betrug mit einem Popup-Fenster, das auf eine angebliche Malware-Infektion hinweist und dazu auffordert, eine Hilfe-Hotline anzurufen, um das Problem zu lösen. Die Betrüger überreden den Anrufer, eine Remote-Verbindung zu seinem Computer herzustellen, was dem Diebstahl von persönlichen Daten und Geld Tür und Tor öffnet. Die Kriminellen versuchen auf diese Weise schließlich auf die Bankkonten oder Krypto-Wallets der Betroffenen zuzugreifen und eine Zahlung für ihre Dienste zu verlangen.
„Wir empfehlen, solche Pop-up-Meldungen zu ignorieren und das Fenster mit der Escape- Taste zu schließen. Falls dies nicht möglich ist, sollte der PC einfach neu gestartet werden“, rät Jakub Kroustek, Avast Malware Research Director. „Außerdem sollte man niemals jemandem, den man nicht kennt, Fernzugriff auf den eigenen Computer gewähren."
Zusätzlich entdeckten die Sicherheitsforscher*innen einen Anstieg in Bezug auf Erstattungs- und Rechnungsbetrug um 14 Prozent von Oktober bis November 2022 und um 22 Prozent im Dezember. Der Rückerstattungsbetrug funktioniert ähnlich wie der Tech Support Scam. Hier erhalten die Opfer meist über eine E-Mail, die aussieht, als käme sie von einem vertrauenswürdigen Unternehmen, eine gefälschte Quittung. Es wird den Opfern vorgegaukelt, dass ihnen ein Kauf in Rechnung gestellt wurde, den sie in Wirklichkeit gar nicht getätigt haben. Schließlich werden sie dazu verleitet, eine Telefonnummer anzurufen. In dem Telefonat fordert ein*e „Mitarbeiter*in“ sie dazu auf, eine Remote-Verbindung zu ihrem Computer herzustellen und ihr Bankkonto zu öffnen, damit die Person sehen kann, wie die Rückerstattung durchgeführt wird. Das Ziel des Angreifers ist es, das Geld der Person zu stehlen. Insbesondere Unternehmen erhalten immer öfter Rechnungen für Waren oder Dienstleistungen, die das Unternehmen nie bestellt oder erhalten hat.
„Betrügerische Rechnungen sehen oft legitim aus. Daher müssen die Menschen prüfen, ob sie auch tatsächlich eine Bestellung getätigt haben, welche Leistung sie erhalten haben und ob der Absender wirklich der ist, der er vorgibt zu sein. Nur so können Betroffene es vermeiden, Opfer einer solchen Betrugsmasche zu werden“, so Kroustek.
Informationsdiebstahl durch Adware, Trojaner und Bots für den Fernzugriff
Webbasierte Adware war in diesem Quartal ebenfalls weit verbreitet und belästigte die Nutzer*innen nicht nur mit aufdringlicher Werbung. Cyberkriminelle versuchten auch auf diese Weise persönliche Daten zu stehlen. So werden die Anwender*innen beispielsweise aufgefordert, an einer Lotterie teilzunehmen und ein Roulette-Rad zu drehen, um zu gewinnen. Anschließend werden sie gebeten, ihre Kontaktinformationen einzugeben und eine „Bearbeitungsgebühr“ mit ihrer Kreditkarte oder ihrem Google Pay- oder Apple Pay-Konto zu bezahlen. Avast-Forscher*innen beobachteten eine Flut von DealPly-Adware, die sich als Google Chrome-Erweiterung tarnt. Die Adware sendet schließlich statistische Auswertungen und Informationen zum Suchverhalten an die Cyberkriminellen. Das Risiko, von DealPly infiziert zu werden, stieg weltweit an – vor allem in Nord- und Südamerika, Europa sowie Süd- und Südostasien.
Zusätzlich erkannte Avast einen signifikanten Anstieg von 437 Prozent bei der weltweiten Verbreitung des Informationsdiebs Arkei. Die Malware ist dafür bekannt, Daten aus Formularen zum automatischen Ausfüllen von Browsern, Passwörter und aus anderen Quellen zu stehlen. In Deutschland stieg die Verbreitung von Arkei um 700 Prozent an. Auch die Zahl der Privatpersonen und Unternehmen, die Avast vor AgentTesla schützen musste, einem Malware-Stamm, der sich häufig über Phishing-E-Mails in Unternehmen verbreitet und darauf abzielt, Anmeldedaten zu stehlen, stieg um 57 Prozent weltweit. Die Verbreitung der Schadsoftware RedLine Stealer verbreitet sich häufig über gecrackte Games und andere eigentlich kostenpflichtige Software. Sie stiehlt Informationen aus Browsern und Kryptowährungen. Die Malware verbreitete sich mit einem Anstieg von 37 Prozent weltweit.
Die Telemetrie-Daten von Avast zeigen auch deutlich, dass sich die weltweite Verbreitung von LimeRAT im vierten Quartal verdreifacht hat. In Deutschland gab es einen Anstieg um 70 Prozent. LimeRAT ist ein Remote-Trojaner, der in der Lage ist, Passwörter und Kryptowährungen zu stehlen, DDoS-Angriffe (Distributed Denial of Service) durchzuführen und Ransomware auf dem Computer des Opfers zu installieren. Er war vor allem in Süd- und Südostasien und Lateinamerika aktiv. Das Emotet-Botnet, ebenfalls ein Malware-Distributor und Informationsdiebstahlprogramm, hat in den letzten Monaten seine Technik zur Umgehung der Erkennung durch Antiviren-Software weiterentwickelt: Die Cyberkriminellen setzen auf den Einsatz von Timern, um die Ausführung der Nutzlast schrittweise fortzusetzen. Das Qakbot-Botnet ist ebenfalls auf den Diebstahl von Informationen ausgelegt und hat sich weiterentwickelt. Hier setzt man auf eine Art von „HTML-Schmuggel“, um ein verschlüsseltes bösartiges Skript in einem E-Mail-Anhang zu verstecken. So haben die Bedrohungsakteure beispielsweise damit begonnen, SVG-Bilder zu manipulieren, um bösartige Dateien und den für deren Wiederzusammensetzung verwendeten Code zu verstecken.
Zero-Day-Exploits in freier Wildbahn
Zwei ausgeklügelte Zero-Day-Exploits wurden von Avast-Forscher*innen in diesem Quartal ebenfalls entdeckt. Avast schützte seine Benutzer*innen vor der Schwachstelle CVE-2022- 3723. Hierbei handelte es sich um eine Type-Confusion-Schwachstelle in V8, die dazu genutzt wurde, eine “get Remote Code Execution“ (RCE) gegen Google Chrome durchzuführen. Avast meldete diese Schwachstelle an Google, die innerhalb von nur zwei Tagen, am 27. Oktober 2022, einen Patch bereitstellten. Die zweite Zero-Day-Schwachstelle CVE-2023-21674 war eine LPE-Schwachstelle in ALPC, die es Angreifern ermöglichte, von der Sandbox des Browsers bis in den Windows-Kernel vorzudringen. Microsoft hat diese Schwachstelle mit dem Patch Tuesday-Update vom Januar 2023 behoben.
„Ende 2022 haben wir eine Zunahme von Bedrohungen beobachtet, die vermehrt auf menschliche Schwächen abzielen statt auf technische Schwachstellen. Es geht hier konkret um Betrügereien, bei denen Menschen vorgetäuscht wird, dass ihr Computer infiziert ist, oder dass ihnen Waren in Rechnung gestellt wurden, die sie nicht bestellt haben. Es liegt in der menschlichen Natur, auf derartige Dringlichkeiten zu reagieren, Angst zu bekommen und zu versuchen, wieder die Kontrolle darüber zu erlangen. Und genau das ist der Punkt, an dem Cyberkriminelle ansetzen und häufig erfolgreich sind“, sagt Kroustek. „Wenn Menschen mit überraschenden Pop-up-Nachrichten oder E-Mails konfrontiert werden, empfehlen wir ihnen, ruhig zu bleiben und sich einen Moment Zeit zu nehmen, um nachzudenken, bevor sie handeln. Die Bedrohungen und Taktiken der Kriminellen sind heute so vielseitig und allgegenwärtig, dass es für Verbraucher*innen schwer ist, den Überblick zu behalten. Wir haben es uns zur Aufgabe gemacht, die Menschen zu schützen, indem wir mithilfe modernster KI-basierter Technologien Bedrohungen erkennen und die Nutzer*innen warnen, bevor sie Schaden anrichten können."
Darüber hinaus bietet der Avast Q4/2022 Threat Report von Avast weitere Einblicke zu Spyware und den neuesten mobilen Banking- und SMS-Trojanern: https://decoded.avast.io/threatresearch/avast-q4-2022-threat-report.
