Campagna malware: Kronos e GootKit prendono di mira gli utenti dalla Germania. Con "Kronos" e "Gootkit" vengono nuovamente utilizzati due noti programmi malware. Il malware si diffonde attraverso i risultati dei motori di ricerca manipolati.
L'ondata di corrente ha iniziato a rotolare giovedì. Gli utenti tedeschi in particolare sembrano essere al centro degli aggressori. Numerosi siti Web compromessi hanno garantito una distribuzione capillare. Installa uno dei due programmi dannosi: Gootkit o Kronos. Entrambi i programmi dannosi sono trojan bancari.
"I trojan bancari sono tutt'altro che notizie di ieri", afferma Tim Berghoff, Security Evangelist presso G DATA CyberDefense. "La distribuzione di programmi dannosi tramite risultati di ricerca manipolati dimostra ancora una volta che l'età di un metodo di attacco non significa che sia obsoleto".
Gozi si nasconde nel registro
Entrambi i programmi dannosi vengono caricati su un sistema utilizzando un cosiddetto "loader" noto come "Gozi". Questo caricatore è anche una vecchia conoscenza: un altro ransomware chiamato Sodinokibi è stato precedentemente distribuito con questo caricatore (Karsten Hahn ha anche scritto un articolo sul blog su Sodinokibi). Ciò che rende speciale il caricatore Gozi non è solo il fatto che attualmente distribuisce un tipo di malware diverso dal solito, Kronos. Questo caricatore inoltre si nasconde particolarmente bene dall'accesso dei programmi di sicurezza non memorizzando l'intero codice dannoso come file sul PC, ma memorizzandolo nel database di sistema (il "registro"). I clienti G DATA sono protetti da varie tecnologie proattive come BEAST e DeepRay.
Motori di ricerca avvelenati
Manipolando i risultati dei motori di ricerca, i siti Web compromessi scivolano anche nelle ricerche di Google e vengono quindi cliccati più spesso. Questa manipolazione avviene, tra l'altro, incorporando parole chiave e collegandosi ad altri siti web. Per i motori di ricerca, parole chiave pertinenti e collegamenti densi significano che la rispettiva pagina è rilevante e quindi la posiziona più in alto nell'elenco dei risultati. Il risultato sono ancora più infezioni. Questa tecnica è chiamata "Search Engine Poisoning". Ciò posiziona le pagine più in alto nell'elenco dei risultati, mentre i siti Web legittimi, che hanno maggiori probabilità di essere cliccati in circostanze normali, scivolano più in basso.
Maggiori informazioni su GData.de
Informazioni su G Data Con servizi di difesa informatica completi, l'inventore dell'antivirus consente alle aziende di difendersi dal crimine informatico. Più di 500 dipendenti garantiscono la sicurezza digitale di aziende e utenti. Made in Germany: con oltre 30 anni di esperienza nell'analisi del malware, G DATA conduce ricerca e sviluppo software esclusivamente in Germania. Le massime esigenze in materia di protezione dei dati hanno la massima priorità. Nel 2011, G DATA ha emesso una garanzia "no backdoor" con il sigillo di fiducia "IT Security Made in Germany" di TeleTrust eV. G DATA offre un portafoglio di antivirus e protezione degli endpoint, test di penetrazione e risposta agli incidenti per analisi forensi, controlli dello stato di sicurezza e formazione sulla consapevolezza informatica per difendere efficacemente le aziende. Nuove tecnologie come DeepRay proteggono dai malware con l'intelligenza artificiale. L'assistenza e il supporto fanno parte del campus G DATA di Bochum. Le soluzioni G DATA sono disponibili in 90 paesi e hanno ricevuto numerosi riconoscimenti.