Hornetsecurity Blog

Erhalten Sie regelmäßige Updates aus der Welt der Cloud Security

In unserem Blog berichtet das Hornetsecurity-Team – insbesondere die Experten aus dem Security Lab – regelmäßig über IT-Sicherheits-Themen sowie über aktuelle Neuerungen und Events bei Hornetsecurity.

Firefox Send sendet Ursnif-Malware

Firefox Send sendet Ursnif-Malware

Am 07.07.2020 hat Mozilla seinen Dienst Firefox Send wegen Missbrauchs durch Malware vorübergehend deaktiviert. Das Security Lab von Hornetsecurity erklärt, wie Malware Firefox Send missbraucht hat. Zu diesem Zweck wird eine Malspam-Kampagne analysiert, die eine Variante der Malware Ursnif verbreitet. Die Kampagne benutzte den Dienst Firefox Send, um ihren bösartigen Downloader zu hosten und den Opfern diese bösartigen Firefox Send-Links zu senden. Solcher Missbrauch veranlasste Mozilla dazu, den Firefox-Send-Dienst zu deaktivieren, da dem Dienst derzeit eine Funktion zur Meldung von Missbrauch fehlt. Das heißt, selbst wenn Sicherheitsforscher diese bösartigen Links gefunden haben, könnten sie Mozilla nicht gemeldet werden, um sie abzuschalten. Unsere Analyse zeigt jedoch weiter, dass Malware bereits andere Dienste missbraucht, so dass die Deaktivierung von Firefox Send – obwohl es die richtige Entscheidung war – keine Auswirkungen auf Malware-Kampagnen hat.
Die Webshells hinter Emotet

Die Webshells hinter Emotet

Das Hornetsecurity Security Lab präsentiert Details zu den Webshells hinter Emotet, einschliesslich Einblicken in Download Zahlen der Malware und wie von 2020-07-22 bis 2020-07-24 Emotet Download-URLs durch HTML-Code mit GIFs ersetzt wurden. Die Analyse zeigt, dass die Anzahl der Downloads des bösartigen Inhalts hinter den Emotet Download-URLs signifikant ist und im Spitzenwert 50.000 Downloads erreichen kann. Das verdeutlicht, dass die schadhaften Links in Emotet-Mails druchaus aufgerufen werden. Die Analyse zeigt ferner, dass kompromittierte Websites nicht nur einmal, sondern mehrfach von verschiedenen Akteuren kompromittiert werden und dass die Bereinigungsversuche der Website-Administratoren oft unzureichend sind, was dazu führt, dass die als entfernt geglaubten bösartigen Emotet-Downloads oft wieder aktiviert werden…
Providence Strategic Growth und Verdane investieren in Hornetsecurity

Providence Strategic Growth und Verdane investieren in Hornetsecurity

LONDON, OSLO, UND HANNOVER – 28. JULI 2020 – Providence Strategic Growth („PSG“) und Verdane geben bekannt, dass sie eine endgültige Vereinbarung über eine Investition in die Hornetsecurity Group („Hornetsecurity“) getroffen haben. Nach der Vereinbarung werden Tochtergesellschaften von PSG neue Shareholder des Unternehmens, während Verdane erneut investiert. Hornetsecurity ist der führende europäische Anbieter Cloud-basierter E-Mail-Sicherheitsservices.
Emotet ist zurück

Emotet ist zurück

Am 17.07.2020 entdeckte das Hornetsecurity Security Lab die Rückkehr von Emotet. Der wieder auftauchende Emotet-Malspam wurde bereits durch bestehende Erkennungsregeln blockiert. Die aktuelle Emotet-Malspam-Welle verwendet erneut bösartige Makrodokumente, die entweder über Anhänge oder über bösartige Download-Links verbreitet werden. Wie üblich laden die VBA-Makros im Dokument den Emotet Loader herunter, den das Hornetsecurity Security Lab bereits analysiert hat.
Tiefe Abgründe: Deepfakes entwickeln sich zur Bedrohung für Unternehmen

Tiefe Abgründe: Deepfakes entwickeln sich zur Bedrohung für Unternehmen

Fake News waren gestern — immer häufiger tauchen täuschend echt wirkende Videos auf, in denen Prominente Dinge sagen oder machen, die man von ihnen größtenteils nicht erwarten würde: So zieht Barack Obama über seinen Nachfolger her oder Mark Zuckerberg gesteht, dass er sämtliche Facebook-Nutzerdaten weitergegeben hat. Doch haben die Personen dies nicht wirklich von sich gegeben. Es handelt sich hierbei um sogenannte Deepfake-Videos, die mit Hilfe von Künstlicher Intelligenz produziert wurden…
Clop, Clop! Eine TA505 HTML Malspam Analyse

Clop, Clop! Eine TA505 HTML Malspam Analyse

Das Hornetsecurity Security Lab zeigt eines der aktuellen Vorgehen der Betreiber hinter der Clop Ransomware. Die skizzierte Infektionskette beginnt mit einer E-Mail mit einem bösartigen HTML-Anhang. Dieser Anhang leitet das Opfer zu einem XLS-Dokument um, das den Get2-Loader enthält. Dieser Loader installiert dann einen Remote Access Trojaner (RAT) auf dem System, der dazu dient, das Netzwerk des Opfers auf den Einsatz der Clop vorzubereiten vorzubereiten. Am Ende des Angriffes steht die Verschlüsselung sovieler Rechner im angegriffenen Unternehmen wie möglich um ein möglichst hohes Lösegeld zu erpressen. Zu diesem Zweck drohen die Angreifer auch mit der Veröffentlichung gestohlener Daten, falls das Lösegeld nicht bezahlt wird.

Hornet News kostenlos abonnieren

Der neue Cyberthreat Report