Campaña de malware: Kronos y GootKit apuntan a usuarios de Alemania. Con "Kronos" y "Gootkit", se vuelven a utilizar dos conocidos programas maliciosos. El malware se propaga a través de resultados de motores de búsqueda manipulados.
La ola actual comenzó a rodar el jueves. Los usuarios de Alemania en particular parecen ser el foco de los atacantes. Numerosos sitios web comprometidos aseguraron una amplia distribución. Instala uno de dos programas maliciosos: Gootkit o Kronos. Ambos programas maliciosos son troyanos bancarios.
"Los troyanos bancarios son cualquier cosa menos noticias del pasado", dice Tim Berghoff, evangelista de seguridad de G DATA CyberDefense. "La distribución de programas maliciosos a través de resultados de búsqueda manipulados demuestra una vez más que la edad de un método de ataque no significa que esté obsoleto".
Gozi se esconde en el registro
Ambos programas maliciosos se cargan en un sistema utilizando un llamado "cargador" conocido como "Gozi". Este cargador también es un viejo conocido: otro ransomware llamado Sodinokibi se distribuyó previamente con este cargador (Karsten Hahn también escribió un artículo de blog sobre Sodinokibi). Lo que hace que el cargador de Gozi sea especial no es solo que actualmente distribuye un tipo de malware diferente al habitual, Kronos. Este cargador también se oculta particularmente bien del acceso de los programas de seguridad al no almacenar todo el código malicioso como un archivo en la PC, sino almacenarlo en la base de datos del sistema (el "registro"). Los clientes de G DATA están protegidos por varias tecnologías proactivas como BEAST y DeepRay.
Motores de búsqueda envenenados
Al manipular los resultados del motor de búsqueda, los sitios web comprometidos también se deslizan hacia arriba en las búsquedas de Google y, por lo tanto, se hace clic en ellos con más frecuencia. Esta manipulación tiene lugar, entre otras cosas, mediante la incorporación de palabras clave y mediante enlaces a otros sitios web. Para los motores de búsqueda, las palabras clave relevantes y los enlaces densos significan que la página respectiva es relevante y, por lo tanto, la ubica más arriba en la lista de resultados. El resultado es aún más infecciones. Esta técnica se llama "Envenenamiento del motor de búsqueda". Esto posiciona las páginas más arriba en la lista de resultados, mientras que los sitios web legítimos, en los que es más probable que se haga clic en circunstancias normales, se deslizan hacia abajo.
Más sobre esto en GData.de
Acerca de los datos G Con servicios integrales de ciberdefensa, el inventor del AntiVirus permite a las empresas defenderse contra el ciberdelito. Más de 500 empleados velan por la seguridad digital de empresas y usuarios. Fabricado en Alemania: con más de 30 años de experiencia en análisis de malware, G DATA lleva a cabo investigaciones y desarrollo de software exclusivamente en Alemania. Las más altas exigencias en materia de protección de datos son la máxima prioridad. En 2011, G DATA emitió una garantía "sin puertas traseras" con el sello de confianza "IT Security Made in Germany" de TeleTrust eV. G DATA ofrece una cartera de protección antivirus y de punto final, pruebas de penetración y respuesta a incidentes para análisis forenses, verificaciones del estado de seguridad y capacitación en conciencia cibernética para defender a las empresas de manera efectiva. Nuevas tecnologías como DeepRay protegen contra malware con inteligencia artificial. El servicio y el soporte son parte del campus de G DATA en Bochum. Las soluciones de G DATA están disponibles en 90 países y han recibido numerosos premios.