Malware-Kampagne: Kronos und GootKit nehmen Nutzer aus Deutschland aufs Korn. Dabei kommen mit „Kronos“ und „Gootkit“ zwei altbekannte Schadprogramme erneut zum Zuge. Verbreitet wird die Schadsoftware über manipulierte Suchmaschinenergebnisse.
Bereits am Donnerstag begann die aktuelle Welle zu rollen. Besonders Nutzer aus Deutschland scheinen im Fokus der Angreifer zu stehen. Für eine breitgefächerte Verteilung sorgten zahlreiche kompromittierte Internetseiten. Dabei wird eines von zwei Schadprogrammen installiert: entweder Gootkit oder Kronos. Bei beiden Schadprogrammen handelt es sich um Bankingtrojaner.
„Banking-Trojaner sind alles andere als Schnee von gestern“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. „Die Verteilung von Schadprogrammen über manipulierte Suchergebnisse beweist einmal mehr, dass das Alter einer Angriffsmethode nicht bedeutet, dass sie obsolet ist.“
Gozi versteckt sich in der Registry
Beide Schadprogramme werden mit einem so genannten „Loader“ auf ein System gebracht, der unter dem Namen „Gozi“ bekannt ist. Auch dieser Loader ist ein alter Bekannter – früher wurde mit diesem Loader auch bereits eine andere Ransomware namens Sodinokibi verteilt (Karsten Hahn hat zu Sodinokibi auch einen Blog-Artikel verfasst). Was den Gozi-Loader besonders macht, ist nicht nur, dass dieser aktuell mit Kronos eine andere Schadsoftware als üblich verteilt. Dieser Loader versteckt sich auch besonders gut vor dem Zugriff durch Schutzprogramme, indem der gesamte Schadcode nicht als Datei auf dem PC abgelegt, sondern in der Systemdatenbank (der „Registry“) gespeichert wird. G DATA-Kunden sind durch verschiedene proaktive Technologien wie BEAST und DeepRay geschützt.
Vergiftete Suchmaschinen
Durch die Manipulation von Suchmaschinenergebnissen rutschen die kompromittierten Webseiten etwa auch in der Google-Suche nach oben und werden daher öfter angeklickt. Diese Manipulation findet unter anderem durch die Einbettung von Schlüsselwörtern und durch Verlinkung mit anderen Webseiten statt. Für Suchmaschinen bedeuten relevante Schlüsselwörter und dichte Verlinkung, dass die jeweilige Seite relevant ist und plaziert sie daher höher in der Trefferliste. Das Ergebnis sind noch mehr Infektionen. Diese Technik nennt sich „Search Engine Poisoning“ (Deutsch: „Suchmaschinen-Vergiftung“). Diese positioniert die Seiten höher in der Trefferliste, wohingegen die legitimen Webseiten, die unter normalen Umständen eher angeklickt werden, weiter nach unten rutschen.
Mehr dazu bei GData.de
Über G Data Mit umfassenden Cyber-Defense-Dienstleistungen macht der Erfinder des AntiVirus Unternehmen verteidigungsfähig gegen Cybercrime. Über 500 Mitarbeiter sorgen für die digitale Sicherheit von Unternehmen und Anwendern. Made in Germany: Mit über 30 Jahren Expertise in Malwareanalyse betreibt G DATA Forschung und Softwareentwicklung ausschließlich in Deutschland. Höchste Ansprüche an den Datenschutz sind oberstes Gebot. 2011 hat G DATA mit dem Vertrauenssiegel „IT Security Made in Germany“ des TeleTrust e.V. eine „No-Backdoor“-Garantie abgegeben. G DATA bietet ein Portfolio von AntiVirus und Endpoint Protection über Penetrationstests und Incident Response bis zu forensischen Analysen, Security-Status-Checks und Cyber-Awareness-Trainings, um Unternehmen wirksam zu verteidigen. Neue Technologien wie DeepRay schützen mit Künstlicher Intelligenz vor Malware. Service und Support gehören zum G DATA Campus in Bochum. G DATA Lösungen sind in 90 Ländern erhältlich und wurden vielfach ausgezeichnet.