{"id":24171,"date":"2024-04-15T00:01:38","date_gmt":"2024-04-14T22:01:38","guid":{"rendered":"https:\/\/it-service.network\/blog\/?p=24171"},"modified":"2024-04-12T12:29:10","modified_gmt":"2024-04-12T10:29:10","slug":"pikabot-malware","status":"publish","type":"post","link":"https:\/\/it-service.network\/blog\/2024\/04\/15\/pikabot-malware\/","title":{"rendered":"Pikabot-Malware ## Aktuelle Angriffskampagne nutzt Social-Engineering-Taktiken"},"content":{"rendered":"

Anfang 2023 ist sie erstmals entdeckt worden, seit Anfang 2024 sorgt sie vermehrt f\u00fcr Schlagzeilen: Die Pikabot-Malware ist eine raffinierte Bedrohung und wird durch Social Engineering verbreitet.<\/strong><\/p>\n

Wir erkl\u00e4ren, was hinter Pikabot steckt, wie Angriffe mit der Malware ablaufen und wie sich Unternehmen sch\u00fctzen k\u00f6nnen.
\n<\/p>\n

\n
Inhaltsverzeichnisexpand_more<\/i><\/div>\n
    \n
  1. Neue Malware auf der Cybercrime-B\u00fchne<\/a><\/li>\n
  2. Was ist die Pikabot-Malware?<\/a><\/li>\n
  3. Pikabot-Malware: Ablauf der Infektion<\/a><\/li>\n
  4. Angreifer nutzen Social Engineering<\/a><\/li>\n
  5. Pikabot-Angriffswelle erreicht Deutschland<\/a><\/li>\n
  6. So sch\u00fctzen sich KMU vor Malware Pikabot<\/a><\/li>\n
  7. IT-Experten sichern Unternehmen ab<\/a><\/li>\n<\/ol>\n<\/div>\n

    Neue Malware auf der Cybercrime-B\u00fchne<\/h2>\n

    Es ist eine traurige Tatsache: Cybercrime <\/strong>ist eine st\u00e4ndig wachsende Bedrohung. Laut dem BSI-Lagebericht 2023<\/a> nimmt die Zahl der Cyberangriffe kontinuierlich zu, wobei t\u00e4glich neue und komplexere Malware-Varianten<\/strong> entdeckt werden. Tag f\u00fcr Tag treten durchschnittlich etwa 250.000 neue Schadprogramm-Varianten<\/strong> auf die Cybercrime-B\u00fchne \u2013 und bedrohen staatliche Einrichtungen, Organisationen, gro\u00dfe Konzerne sowie kleine und mittelst\u00e4ndische Unternehmen gleicherma\u00dfen.<\/p>\n

    Dabei sind einzelne Malware-Arten<\/strong> mal mehr und mal weniger pr\u00e4sent \u2013 oder sie verschwinden ganz. Geschuldet ist dies unter anderem der Tatsache, dass Cyberkriminelle ihre Kampagnen<\/strong> oft in Wellen<\/strong> ausspielen. Und es liegt wohl auch daran, dass die Angreifer hinter der Malware lieber einige Zeit den Ball flach halten, wenn ihre Aktivit\u00e4ten zu sehr in den Fokus der (internationalen) Ermittler geraten \u2013 oder auch dann, wenn sie gerade an der Weiterentwicklung ihrer Malware arbeiten.<\/p>\n

    Anfang 2024 ist eine spezielle Schadsoftware wieder deutlich pr\u00e4senter unterwegs, als es in den Wochen zuvor der Fall war: Es handelt sich um die Pikabot-Malware<\/strong>, die derzeit verst\u00e4rkt \u00fcber Social-Engineering-Taktiken<\/strong> verbreitet wird.<\/p>\n

    \"Zu

    Angesichts der wachsenden Cyberbedrohungen gilt es, immer und \u00fcberall wachsam zu sein \u2013 auch jetzt im Falle der Angriffswelle mit der Pikabot-Malware. Bild: Pexels\/MART PRODUCTION<\/a><\/p><\/div>\n

    Was ist die Pikabot-Malware?<\/h2>\n

    Die Malware Pikabot<\/strong> ist erstmalig Anfang 2023<\/strong> aufgetaucht und hat schnell den Ruf einer ernsthaften Cyberbedrohung erlangt. Das liegt vor allem an ihrer Funktion als Backdoor<\/strong>, die es Cyberkriminellen erm\u00f6glicht, nach der Erstinfektion weitere sch\u00e4dliche Software \u2013 darunter vor allem Ransomware und Krypto-Malware \u2013 nachzuladen und somit einen mehrstufigen Angriff<\/strong> auszuf\u00fchren. Zudem k\u00f6nnen die Angreifer die Malware gezielt ansteuern und ihr Befehle erteilen.<\/p>\n

    Nach einer kurzen Inaktivit\u00e4t Ende 2023 ist die Pikabot-Malware Anfang 2024<\/strong> mit verst\u00e4rkter Pr\u00e4senz zur\u00fcckgekehrt \u2013 mit einigen Ver\u00e4nderungen. In einer sogenannten \u201e(D)Evolution\u201c haben die Entwickler von Pikabot zum Beispiel bewusst komplexe Verschleierungstechniken entfernt und stattdessen \u201eGarbage Code\u201c<\/strong> oder auch \u201eJunk Code\u201c<\/strong> eingef\u00fcgt, der Abwehrsysteme verwirrt und die Identifizierung der Malware erschwert. Diese strategischen Anpassungen zeigen, dass Cyberkriminellen ihre Methoden kontinuierlich weiterentwickeln, um Entdeckungen zu vermeiden \u2013 und sie machen Pikabot zu einer besonders schwer fassbaren Bedrohung<\/strong>.<\/p>\n

    Die Parallelen<\/strong> von Pikabot zu Quakbot<\/a>, einer anderen weit verbreiteten Malware, zeigen zudem auf, wie Angreifer erfolgreiche Strategien adaptieren und f\u00fcr ihre Zwecke nutzen. Unternehmen stehen somit vor der Herausforderung, ihre Sicherheitsma\u00dfnahmen regelm\u00e4\u00dfig anzupassen, um sich gegen die sich st\u00e4ndig weiterentwickelnde Bedrohungen zu sch\u00fctzen.<\/p>\n

    Pikabot-Malware: Ablauf der Infektion<\/h2>\n

    Die Infektionskette von Pikabot<\/strong> beginnt typischerweise mit einer Spam-E-Mail<\/strong>, die einen PDF-Anhang<\/strong> beinhaltet, welcher eine gef\u00e4lschte OneDrive-Anmeldung<\/strong> vort\u00e4uscht. Das \u00d6ffnen des PDFs f\u00fchrt den Nutzer zu einer manipulierten Webseite<\/strong>, die b\u00f6sartiges JavaScript<\/strong> enth\u00e4lt. Dieses JavaScript ist verantwortlich f\u00fcr das Herunterladen und Ausf\u00fchren der Pikabot-Malware. Sobald Pikabot aktiv ist, etabliert es eine Verbindung zum Command-and-Control-Server (C2) des Angreifers, wodurch das System f\u00fcr weitere Instruktionen offensteht. Zu diesen kann, wie erw\u00e4hnt, das Nachladen von Krypto-Malware und Ransomware geh\u00f6ren.<\/p>\n

    Pikabot wurde so konzipiert, dass es Informationen \u00fcber den infizierten Computer sammelt. Dazu geh\u00f6ren Informationen wie der Name des Computers, die Bildschirmaufl\u00f6sung, Angaben zur CPU, zum Betriebssystem und zu laufenden Prozessen. Die Angreifer k\u00f6nnten diese Daten dazu nutzen, um sich durch das Netzwerk zu bewegen und weitere Systeme zu kompromittieren. M\u00f6glich ist auch, dass Pikabot versuche k\u00f6nnte, intern Nachrichten zu versenden \u2013 ebenfalls mit dem Ziel, weitere Rechner zu infizieren.<\/p>\n

    \"Zu

    Ein wichtiger Grundsatz: E-Mails sollten immer gr\u00fcndlich gepr\u00fcft werden. Bild: Pexels\/Edmond Dant\u00e8s<\/a><\/p><\/div>\n

    Angreifer nutzen Social Engineering<\/h2>\n

    Die Raffinesse der Angreifer hinter Pikabot zeigt sich besonders in der Nutzung von Social-Engineering-Taktiken<\/strong>. Eine Methode, die bei der Verbreitung von Pikabot zum Einsatz kommt, ist das sogenannte E-Mail- oder Thread-Hijacking<\/strong>. Hierbei kapern Angreifer bestehende E-Mail-Konversationen und setzen diese mit t\u00e4uschend echt wirkenden Nachfolge-Mails fort. Die Empf\u00e4nger werden durch diese Vorgehensweise in falscher Sicherheit gewiegt, da die Nachrichten scheinbar von vertrauten Absendern stammen. Diese Form des Identit\u00e4tsdiebstahls<\/strong> erh\u00f6ht die Wahrscheinlichkeit, dass Anh\u00e4nge ge\u00f6ffnet und Links angeklickt werden \u2013 was den Angreifern denn die T\u00fcren \u00f6ffnet.<\/p>\n

    Die Taktik ist besonders t\u00fcckisch, da sie auf der vermeintlichen Authentizit\u00e4t und dem Vertrauen zwischen den urspr\u00fcnglichen Kommunikationspartnern beruht. So werden Nutzer mit sorgsam nachgeahmten E-Mail-Headern und Inhalten, die kleine, leicht \u00fcbersehbare Unstimmigkeiten<\/strong> aufweisen, zur Interaktion verleitet. Typisch sind etwa doppelte Buchstaben im Betreff oder fehlende Umlaute \u2013 Feinheiten, die ein automatisiertes Sicherheitssystem m\u00f6glicherweise nicht erkennt.\u00a0Die stetige Aufkl\u00e4rung \u00fcber solche subtilen Hinweise und das Trainieren der Security Awareness sind daher unerl\u00e4ssliche Bestandteile einer effektiven Sicherheitsstrategie gegen Bedrohungen wie Pikabot.<\/p>\n

    Pikabot-Angriffswelle erreicht Deutschland<\/h2>\n

    Nachdem sich Pikabot-Angriffe zun\u00e4chst auf L\u00e4nder wie Gro\u00dfbritannien und Norwegen konzentrierten, scheint sich die Pr\u00e4senz dieser Malware inzwischen auch auf Deutschland<\/strong> auszuweiten. Darauf weist eine Warnmeldung der Fernuni Hagen<\/strong> hin. Scheinbar sind im Umfeld der Fernuni bereits einige Phishing-Mails eingegangen, die auf die Angriffswelle mit Pikabot zur\u00fcckzuf\u00fchren sind. In der Meldung erkl\u00e4ren die universit\u00e4ren IT-Sicherheitsdienste, was es mit den Phishing-E-Mails auf sich hat, die durch Absendernamen bekannter Kontakte sowie den Inhalt vertraut wirken und Opfer zu gef\u00e4hrlichen Handlungen verf\u00fchren sollen. Zudem gibt die Fernuni Tipps, anhand welcher kleinen Unstimmigkeiten sich eingehende Nachrichten als Phishing-E-Mails entlarven lassen.<\/p>\n

    Das Sicherheitsteam betont dabei, wie entscheidend eine sorgf\u00e4ltige Pr\u00fcfung<\/strong> eingehender Nachrichten ist \u2013 insbesondere wenn es um das \u00d6ffnen von Anh\u00e4ngen oder das Anklicken von Links geht. Bezeichnend f\u00fcr die List von Pikabot ist n\u00e4mlich auch das Vort\u00e4uschen von Verbindungen zu vertrauensw\u00fcrdigen Diensten wie Office 365 oder Adobe Document Cloud. Hierdurch sollen Benutzer zum Herunterladen getarnter Schadsoftware verleitet werden. Die Vorf\u00e4lle an der Fernuni Hagen zeigen dabei nicht nur, wie wichtig es ist, das eigene Netzwerk \u00fcber neue Cybergefahren zu informieren, sondern auch, das ein Informationsaustausch zu Phishing-Kampagnen dabei helfen kann und sollte, eine weitere Ausbreitung von Malware wie Pikabot zu verhindern.<\/p>\n

    \"Zu

    Ein unbedachter Klick kann ernste Konsequenzen haben. Bild: Pexels\/Danik Prihodko<\/a><\/p><\/div>\n

    So sch\u00fctzen Sie sich vor der Pikabot-Malware<\/h2>\n

    Um sich vor der fortschreitenden Bedrohung durch die Pikabot-Malware zu sch\u00fctzen, ist ein mehrschichtiger Ansatz erforderlich. In einem folgenden \u00dcberblick haben wir einige grunds\u00e4tzliche pr\u00e4ventive Ma\u00dfnahmen f\u00fcr Sie zusammengefasst:<\/p>\n