Gootloader: Banking Trojaner mutiert zu Malware-Plattform

Sophos News
Anzeige

Beitrag teilen

Aus „Gootkit“ wird „Gootloader“: Banking Trojaner mutiert zu komplexer Malware-Plattform mit multiplen Angriffsvektoren.

Die Gootkit-Malware-Familie ist ein bekannter Scherge – ein Trojaner, der sich initial auf den Diebstahl von Bankgeschäftsdaten fokussiert und sich heute unter anderem des Analysetools Cobalt-Strike, der Banking Malware Kronos sowie der REvil-Ransomware bedient. IT-Security-Experten haben sich bereits 2020 intensiv mit der Schadsoftware und insbesondere ihrer geschickten Übermittlungsmechanismen beschäftigt. Neu ist nun, dass die Angreifer die Malware zu einer Multi-Payload-Plattform ausgebaut haben. Mit variablen Angriffsmechanismen – inklusive Social Engineering – ist sie heute am stärksten in Deutschland sowie in den USA und Südkorea aktiv. Aufgrund der Aktualität und des Plattform-Charakters haben die Security-Experten der SophosLabs der Multi-Payload-Malware einen eigenen Namen gegeben: Gootloader.

Anzeige

Gootloader zielen zuerst auf Webseiten

Die Gootloader-Angreifer hacken sich in legitime Webseiten, verändern diese subtil und manipulieren auch die SEO, um die gefälschten Webseiten den Nutzern als Top-Ergebnisse in ihren Suchmaschinenabfragen, wie zum Beispiel Google Search, anzuzeigen. Der gezielte Fokus auf bestimmte Länder geht neben den lokalisierten Fake-Webseiten sogar so weit, dass Nutzer von „Nicht-Ziel-Ländern“, die auf solch einer Webseite landen, lediglich zufälligen Fake-Inhalte angezeigt bekommen und sonst nichts weiter passiert.

„Die Schöpfer von Gootloader verwenden eine Reihe von Social-Engineering-Tricks, die selbst technisch versierte IT-Anwender täuschen können. Allerdings existieren Warnzeichen, auf die man achten sollte“, so Gabor Szappanos, Threat Research Director bei Sophos. „Dazu gehören Google-Suchergebnisse mit dem Verweis auf Webseiten, die in keinerlei logischem Zusammenhang mit den scheinbar angebotenen Ratschlägen stehen. Auffällig sind auch Tipps, die genau mit den Suchbegriffen übereinstimmen, die in der anfänglichen Frage verwendet wurden, sowie Seiten im Stil eines Forums.“

Anzeige

Aktiv gegen Payloadsysteme schützen

Wer sich außerdem aktiv gegen Payloadsysteme wie Gootloader schützen will, kann die Funktion ‚Erweiterungen bei bekannten Dateitypen ausblenden‘ in den Ordneroptionen des Windows Explorers deaktivieren. Dadurch können Nutzer erkennen, dass das von den Angreifern gelieferte ZIP-Paket eine Datei mit .js-Endung enthält. Javascript.-Dateien werden immer wieder für Hackerangriffe verwendet und das Ausführen einer solchen heruntergeladenen Datei sollte immer die Alarmglocken klingeln lassen. Zusätzlich können Script-Blocker wie beispielsweise NoScript für Firefox für Sicherheit vor solchen Attacken sorgen, da sie den Fake-Inhalt einer gehackten Internetseite blocken.“

Mehr dazu bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Entspannung beim Fachkräftemangel in der IT-Sicherheit

Die Welt steht still, so scheint es, doch der Schein trügt. Wie für so viele IT-Themen gehören auch Managed Security ➡ Weiterlesen

Forscher decken Angriffe auf europäische Luftfahrt- und Rüstungskonzerne auf

ESET-Forscher decken gezielte Angriffe gegen hochkarätige europäische Luftfahrt- und Rüstungskonzerne auf. Gemeinsame Untersuchung in Zusammenarbeit mit zwei der betroffenen europäischen Unternehmen ➡ Weiterlesen

Trends und Tipps zur Weiterentwicklung moderner CISOs

Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe, veröffentlicht ihr neues Forschungspapier zum Cybergeschäft "Building the Future of Security Leadership"(Aufbau künftiger Sicherheitsexperten). ➡ Weiterlesen

Java-Malware kopiert Passwörter

G Data-Forscher decken auf: Java-Malware kopiert Passwörter und ermöglicht auch noch die Fernsteuerung via RDP. Eine in Java entwickelte neu ➡ Weiterlesen

Vertrauen auf VPN für den sicheren Zugriff

SANS Institute, ein Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die Untersuchung „Remote Worker Poll“ zur Verbreitung von Home Office Security ➡ Weiterlesen

Analyse-Ergebnisse des Kaspersky Threat Intelligence Portal

Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner ➡ Weiterlesen

Hackergruppe gibt auf und veröffentlicht Schlüssel

Manchmal beschleicht wohl auch Hacker so etwas wie Reue oder ein schlechtes Gewissen und sie geben ihre schwarzen Hüte an ➡ Weiterlesen

Bösartige Chrome Extensions führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten ➡ Weiterlesen