Malware-Kampagne: Kronos und GootKit

G Data News
Anzeige

Beitrag teilen

Malware-Kampagne: Kronos und GootKit nehmen Nutzer aus Deutschland aufs Korn. Dabei kommen mit „Kronos“ und „Gootkit“ zwei altbekannte Schadprogramme erneut zum Zuge. Verbreitet wird die Schadsoftware über manipulierte Suchmaschinenergebnisse.

Bereits am Donnerstag begann die aktuelle Welle zu rollen. Besonders Nutzer aus Deutschland scheinen im Fokus der Angreifer zu stehen. Für eine breitgefächerte Verteilung sorgten zahlreiche kompromittierte Internetseiten. Dabei wird eines von zwei Schadprogrammen installiert: entweder Gootkit oder Kronos. Bei beiden Schadprogrammen handelt es sich um Bankingtrojaner.

Anzeige

“Banking-Trojaner sind alles andere als Schnee von gestern”, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. “Die Verteilung von Schadprogrammen über manipulierte Suchergebnisse beweist einmal mehr, dass das Alter einer Angriffsmethode nicht bedeutet, dass sie obsolet ist.”

Gozi versteckt sich in der Registry

Beide Schadprogramme werden mit einem so genannten “Loader” auf ein System gebracht, der unter dem Namen “Gozi” bekannt ist. Auch dieser Loader ist ein alter Bekannter – früher wurde mit diesem Loader auch bereits eine andere Ransomware namens Sodinokibi verteilt (Karsten Hahn hat zu Sodinokibi auch einen Blog-Artikel verfasst). Was den Gozi-Loader besonders macht, ist nicht nur, dass dieser aktuell mit Kronos eine andere Schadsoftware als üblich verteilt. Dieser Loader versteckt sich auch besonders gut vor dem Zugriff durch Schutzprogramme, indem der gesamte Schadcode nicht als Datei auf dem PC abgelegt, sondern in der Systemdatenbank (der „Registry“) gespeichert wird. G DATA-Kunden sind durch verschiedene proaktive Technologien wie BEAST und DeepRay geschützt.


Vergiftete Suchmaschinen

Durch die Manipulation von Suchmaschinenergebnissen rutschen die kompromittierten Webseiten etwa auch in der Google-Suche nach oben und werden daher öfter angeklickt. Diese Manipulation findet unter anderem durch die Einbettung von Schlüsselwörtern und durch Verlinkung mit anderen Webseiten statt. Für Suchmaschinen bedeuten relevante Schlüsselwörter und dichte Verlinkung, dass die jeweilige Seite relevant ist und plaziert sie daher höher in der Trefferliste. Das Ergebnis sind noch mehr Infektionen. Diese Technik nennt sich „Search Engine Poisoning“ (Deutsch: „Suchmaschinen-Vergiftung“). Diese positioniert die Seiten höher in der Trefferliste, wohingegen die legitimen Webseiten, die unter normalen Umständen eher angeklickt werden, weiter nach unten rutschen.

Mehr dazu bei GData.de

 


Über G Data

Mit umfassenden Cyber-Defense-Dienstleistungen macht der Erfinder des AntiVirus Unternehmen verteidigungsfähig gegen Cybercrime. Über 500 Mitarbeiter sorgen für die digitale Sicherheit von Unternehmen und Anwendern. Made in Germany: Mit über 30 Jahren Expertise in Malwareanalyse betreibt G DATA Forschung und Softwareentwicklung ausschließlich in Deutschland. Höchste Ansprüche an den Datenschutz sind oberstes Gebot. 2011 hat G DATA mit dem Vertrauenssiegel „IT Security Made in Germany“ des TeleTrust e.V. eine „No-Backdoor“-Garantie abgegeben. G DATA bietet ein Portfolio von AntiVirus und Endpoint Protection über Penetrationstests und Incident Response bis zu forensischen Analysen, Security-Status-Checks und Cyber-Awareness-Trainings, um Unternehmen wirksam zu verteidigen. Neue Technologien wie DeepRay schützen mit Künstlicher Intelligenz vor Malware. Service und Support gehören zum G DATA Campus in Bochum. G DATA Lösungen sind in 90 Ländern erhältlich und wurden vielfach ausgezeichnet.


 

Passende Artikel zum Thema

Beschleunigte Cyber-Kriminalität mit ChatGPT4

Sicherheitsforscher zeigen verschiedene Szenarien, die es Hackern ermöglichen, ihre bösartigen Bemühungen und Vorbereitungen zu verbessern, was zu schnelleren und präziseren ➡ Weiterlesen

Cybercrime mit ChatGPT

Mit jeder Verbesserung von ChatGPT wächst die Sorge, es lasse sich insbesondere durch Cybercrime im großen Umfang missbrauchen und werde ➡ Weiterlesen

VOIP/PBX-Software 3CX für Sideloading-Angriff missbraucht

Zurzeit sorgt eine trojanisierte Version der beliebten Telefonsystem VOIP/PBX-Software 3CX für Schlagzeilen. Das Geschäftstelefonsystem wird weltweit von Unternehmen in 190 ➡ Weiterlesen

Cyberattacke auf Helmholtz Zentrum München

Bereits am 15. März war das Helmholtz Zentrum München erst einmal nicht mehr zu erreichen. Eine Cyberattacke hatte alles lahmgelegt. ➡ Weiterlesen

Security: BSI-Handbuch für Unternehmensleitung

Das BSI verteilt das neue international erscheinende Handbuch „Management von Cyber-Risiken“ für die Unternehmensleitung. Das mit der Internet Security Alliance ➡ Weiterlesen

Ransomware: Attacke auf Schweizer Medienverlag und NZZ

Die Neue Züricher Zeitung - NZZ meldete vor ein paar Tagen eine Attacke auf ihr Netzwerk und konnte daher nicht ➡ Weiterlesen

Chinesische Cyberangreifer zielen auf Zero-Day-Schwachstellen

Gefundene Zero-Day-Schwachstellen werden oft von einzelnen APT-Gruppen ausgenutzt. Laut Mandiant greifen chinesische Cyberangreifer immer mehr Zero-Day-Schwachstellen an. Der Bericht belegt ➡ Weiterlesen

Verwundbarkeit durch Cloud Bursting

Als Technik zur Anwendungsbereitstellung ermöglicht Cloud Bursting die Vereinigung des Besten aus beiden Welten. Auf der einen Seite ermöglicht es ➡ Weiterlesen