Malware Ranking April 2025: FakeUpdates bleiben dominant

Malware Ranking April 2025: FakeUpdates bleiben dominant

Die Sicherheitsforscher enthüllen mehrstufige Malware-Kampagnen, die legitime Prozesse zur Tarnung nutzen, während der Bildungssektor hinzulande und weltweit weiterhin der am meisten angegriffene Sektor bleibt.

Check Point Software Technologies  hat seinen Global Threat Index für April 2025 veröffentlicht. FakeUpdates bleibt die am weitesten verbreitete Malware und betrifft weltweit sechs Prozent der Unternehmen, dicht gefolgt von Remcos und AgentTesla. Auch in Deutschland liegt die Downloader-Malware weiterhin vorn (3,35 Prozent), dicht gefolgt von Remcos und Androxgh0st.

Sicherheitsforscher haben eine ausgeklügelte mehrstufige Malware-Kampagne aufgedeckt, die AgentTesla, Remcos und Xloader (eine Weiterentwicklung von FormBook) verbreitet. Der Angriff beginnt mit Phishing-E-Mails, die als Bestellbestätigungen getarnt sind und die Opfer dazu verleiten, ein schädliches 7-Zip-Archiv zu öffnen. Dieses Archiv enthält eine JScript-verschlüsselte (.JSE) Datei, die ein Base64-codiertes PowerShell-Skript startet. Dieses wiederum führt im nächsten Schritt eine .NET- oder AutoIt-basierte ausführbare Datei der zweiten Stufe aus. Die endgültige Malware wird in legitime Windows-Prozesse wie RegAsm.exe oder RegSvcs.exe eingeschleust, wodurch die Tarnung und die Umgehung von Erkennungsmechanismen erheblich verbessert werden.

Diese Ergebnisse spiegeln einen bemerkenswerten Trend in der Cyber-Kriminalität wider: die Konvergenz von handelsüblicher Malware und fortschrittlichen Techniken. Tools, die früher offen und kostengünstig verkauft wurden, wie AgentTesla und Remcos, sind nun in komplexe Lieferketten integriert, welche die Taktiken staatlich geförderter Akteure nachahmen und so die Grenzen zwischen finanziell und politisch motivierten Bedrohungen verwischen.

“Diese jüngste Kampagne ist ein Beispiel für die zunehmende Komplexität von Cyber-Bedrohungen”, so Lotem Finkelstein, Director of Threat Intelligence bei Check Point Software Technologies: “Angreifer setzen auf verschachtelte, codierte Skripte, legitime Prozesse und schwer nachvollziehbare Ausführungsketten, um unentdeckt zu bleiben. Was wir früher als einfache Malware betrachtet haben, wird heute in hochentwickelten Operationen als Waffe eingesetzt. Unternehmen müssen einen präventiven Ansatz verfolgen, der Echtzeit-Bedrohungsinformationen, KI und Verhaltensanalysen integriert.”

Top-Malware in Deutschland

FakeUpdates bleibt mit einem Anteil von 3,35 Prozent an allen von CPR verzeichneten Malware-Infektionen in Deutschland an der Spitze, gefolgt von Remcos mit 2,69 Prozent und Androxgh0st mit 2,43 Prozent.

1. ↔ FakeUpdates (3,35 %) – Fakeupdates (auch bekannt als SocGholish) ist eine Downloader-Malware, die erstmals im Jahr 2018 entdeckt wurde. Sie wird durch Drive-by-Downloads überkompromittierten oder verseuchte Websites verbreitet und fordert Nutzer auf, ein gefälschtes Browser-Update zu installieren. Die FakeUpdates-Malware wird mit der russischen Hacker-Gruppe Evil Corp in Verbindung gebracht. Sie wird verwendet, um nach der Erstinfektion verschiedene sekundäre Nutzlasten einzuschleusen.
2. ↑ Remcos (2,69 %) – Remcos ist ein Remote Access Trojaner (RAT), der erstmals 2016 entdeckt wurde und häufig über bösartige Dokumente in Phishing-Kampagnen verbreitet wird. Er wurde entwickelt, um Windows-Sicherheitsmechanismen wie UAC zu umgehen und Malware mit erhöhten Berechtigungen auszuführen, was ihn zu einem vielseitigen Werkzeug für Angreifer macht.
3. ↓ Androxgh0st (2,43 %) – AndroxGh0st ist eine auf der Programmiersprache Python fußende Malware, die auf Anwendungen zielt, die das Laravel PHP-Framework verwenden. Sie sucht dafür nach ungeschützten .env-Dateien, die sensible Informationen, wie Anmeldedaten für Dienste, darunter AWS, Twilio, Office 365 und SendGrid, enthalten. Die Malware nutzt ein Bot-Netz, um Websites zu identifizieren, auf denen Laravel ausgeführt wird, und vertrauliche Daten zu stehlen. Sobald der Zugriff erfolgt ist, können Hacker zusätzliche Malware einsetzen, Backdoor-Verbindungen herstellen und Cloud-Ressourcen für Aktivitäten, wie das Mining von Krypto-Währungen, nutzen.

Meist angegriffene Branchen und Sektoren in Deutschland

Im April war der Bildungssektor weiterhin der am häufigsten attackierte Bereich, während der Biotechnologie- und Pharmazie-Sektor auf Platz zwei aufstieg – ein Tausch mit der Telekommunikationsbranche, nun auf Platz drei.

1. ↔ Bildung
2. ↑ Biotechnologie und Pharmazie
3. ↓ Telekommunikation

Top Mobile Malware

Auch im April belegte Anubis den ersten Platz der am weitesten verbreiteten Handy-Malware, gefolgt von AhMyth und Hydra.

1. ↔ Anubis – Anubis ist ein vielseitiger Banking-Trojaner, der ursprünglich für Android-Geräte entwickelt wurde und inzwischen erweiterte Funktionen besitzt, wie das Umgehen der Multi-Faktor-Authentifizierung (MFA) durch das Abfangen von SMS-Einmal-Passwörtern (OTPs), Keylogging, Audioaufzeichnung und Ransomware-Funktionen. Er wird häufig über betrügerische Apps im Google Play Store verbreitet und hat sich zu einer der am weitesten verbreiteten Mobile-Malware-Familien entwickelt. Darüber hinaus enthält Anubis verschiedene RAT-Funktionen (Remote Access Trojan), die eine umfassende Überwachung und Kontrolle der infizierten Systeme ermöglichen.
2. ↑ AhMyth – AhMyth ist ein Fernzugriffstrojaner (RAT), der auf Android-Geräte zielt und sich in der Regel als legitime Anwendung, wie Bildschirmschreiber, Spiele oder Krypto-Währungs-Tools, tarnt. Nach der Installation erhält er weitreichende Berechtigungen, um nach einem Neustart weiter zu bestehen und sensible Informationen, wie Bankdaten, Krypto-Währungs-Wallet-Details, MFA-Codes (Multi-Faktor-Authentifizierung) und Passwörter, zu stehlen. AhMyth ermöglicht außerdem Keylogging, Screen-Capture, Kamera- und Mikrofonzugriff sowie das Abfangen von SMS und ist damit ein vielseitiges Tool für Datendiebstahl und andere kriminelle Aktivitäten.
3. ↑ Hydra – Hydra ist ein Banking-Trojaner, der entwickelt wurde, um Bankdaten zu stehlen, indem er die Opfer dazu auffordert, jedes Mal, wenn sie eine Banking-App öffnen, gefährliche Berechtigungen zu aktivieren und Zugriff zu gewähren.

Wichtigste Ransomware Gruppen

Die Daten basieren auf Erkenntnissen aus Shame-Sites von Ransomware-Gruppen, die doppelte Erpressung betreiben. Akira ist die in diesem Monat am weitesten verbreitete Ransomware-Gruppe und für elf Prozent der veröffentlichten Angriffe verantwortlich, gefolgt von SatanLock und Qilin mit jeweils zehn Prozent.

1. Akira – Akira Ransomware, erstmals Anfang 2023 gemeldet, zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Sie verwendet symmetrische Verschlüsselung mit CryptGenRandom() und Chacha 2008 für die Dateiverschlüsselung und ähnelt der durchgesickerten Conti v2-Ransomware. Akira wird über verschiedene Wege verbreitet, darunter infizierte E-Mail-Anhänge und Exploits in VPN-Endpunkten. Nach der Infektion verschlüsselt sie Daten und hängt die Erweiterung „. akira“ an Dateinamen an. Anschließend wird eine Lösegeldforderung angezeigt, in der die Zahlung für die Entschlüsselung verlangt wird.
2. SatanLock – SatanLock ist eine neue Operation, die seit Anfang April öffentlich aktiv ist. Sie hat 67 Opfer veröffentlicht, aber wie bei vielen anderen neuen Akteuren wurden mehr als 65 Prozent davon bereits zuvor von anderen Akteuren gemeldet.
3. Qilin – Qilin, auch als Agenda bezeichnet, ist eine kriminelle Operation, die Ransomware-as-a-Service anbietet und mit Partnern zusammenarbeitet, um Daten von kompromittierten Organisationen zu verschlüsseln und zu exfiltrieren und anschließend Lösegeld zu fordern. Diese Ransomware-Variante wurde erstmals im Juli 2022 entdeckt und wurde in Golang entwickelt. Sie ist dafür bekannt, große Unternehmen und wertvolle Organisationen anzugreifen, wobei der Schwerpunkt auf dem Gesundheits- und Bildungssektor liegt. Qilin infiltriert seine Opfer in der Regel über Phishing-E-Mails mit bösartigen Links, um sich Zugang zu ihren Netzwerken zu verschaffen und sensible Informationen zu exfiltrieren. Sobald Qilin sich im Netzwerk befindet, bewegt es sich in der Regel lateral durch die Infrastruktur des Opfers und sucht nach kritischen Daten, die verschlüsselt werden können.

Die Pfeile beziehen sich auf die Veränderung des Rankings im Vergleich zum Vormonat.. Den vollständigen Global Threat Index für April 2025 finden Sie online.