Malware-Kampagne: Kronos und GootKit

G Data News
Anzeige

Beitrag teilen

Malware-Kampagne: Kronos und GootKit nehmen Nutzer aus Deutschland aufs Korn. Dabei kommen mit „Kronos“ und „Gootkit“ zwei altbekannte Schadprogramme erneut zum Zuge. Verbreitet wird die Schadsoftware über manipulierte Suchmaschinenergebnisse.

Bereits am Donnerstag begann die aktuelle Welle zu rollen. Besonders Nutzer aus Deutschland scheinen im Fokus der Angreifer zu stehen. Für eine breitgefächerte Verteilung sorgten zahlreiche kompromittierte Internetseiten. Dabei wird eines von zwei Schadprogrammen installiert: entweder Gootkit oder Kronos. Bei beiden Schadprogrammen handelt es sich um Bankingtrojaner.

Anzeige

„Banking-Trojaner sind alles andere als Schnee von gestern“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. „Die Verteilung von Schadprogrammen über manipulierte Suchergebnisse beweist einmal mehr, dass das Alter einer Angriffsmethode nicht bedeutet, dass sie obsolet ist.“

Gozi versteckt sich in der Registry

Beide Schadprogramme werden mit einem so genannten „Loader“ auf ein System gebracht, der unter dem Namen „Gozi“ bekannt ist. Auch dieser Loader ist ein alter Bekannter – früher wurde mit diesem Loader auch bereits eine andere Ransomware namens Sodinokibi verteilt (Karsten Hahn hat zu Sodinokibi auch einen Blog-Artikel verfasst). Was den Gozi-Loader besonders macht, ist nicht nur, dass dieser aktuell mit Kronos eine andere Schadsoftware als üblich verteilt. Dieser Loader versteckt sich auch besonders gut vor dem Zugriff durch Schutzprogramme, indem der gesamte Schadcode nicht als Datei auf dem PC abgelegt, sondern in der Systemdatenbank (der „Registry“) gespeichert wird. G DATA-Kunden sind durch verschiedene proaktive Technologien wie BEAST und DeepRay geschützt.

Anzeige

Vergiftete Suchmaschinen

Durch die Manipulation von Suchmaschinenergebnissen rutschen die kompromittierten Webseiten etwa auch in der Google-Suche nach oben und werden daher öfter angeklickt. Diese Manipulation findet unter anderem durch die Einbettung von Schlüsselwörtern und durch Verlinkung mit anderen Webseiten statt. Für Suchmaschinen bedeuten relevante Schlüsselwörter und dichte Verlinkung, dass die jeweilige Seite relevant ist und plaziert sie daher höher in der Trefferliste. Das Ergebnis sind noch mehr Infektionen. Diese Technik nennt sich „Search Engine Poisoning“ (Deutsch: „Suchmaschinen-Vergiftung“). Diese positioniert die Seiten höher in der Trefferliste, wohingegen die legitimen Webseiten, die unter normalen Umständen eher angeklickt werden, weiter nach unten rutschen.

Mehr dazu bei GData.de

 


Über G Data

Mit umfassenden Cyber-Defense-Dienstleistungen macht der Erfinder des AntiVirus Unternehmen verteidigungsfähig gegen Cybercrime. Über 500 Mitarbeiter sorgen für die digitale Sicherheit von Unternehmen und Anwendern. Made in Germany: Mit über 30 Jahren Expertise in Malwareanalyse betreibt G DATA Forschung und Softwareentwicklung ausschließlich in Deutschland. Höchste Ansprüche an den Datenschutz sind oberstes Gebot. 2011 hat G DATA mit dem Vertrauenssiegel „IT Security Made in Germany“ des TeleTrust e.V. eine „No-Backdoor“-Garantie abgegeben. G DATA bietet ein Portfolio von AntiVirus und Endpoint Protection über Penetrationstests und Incident Response bis zu forensischen Analysen, Security-Status-Checks und Cyber-Awareness-Trainings, um Unternehmen wirksam zu verteidigen. Neue Technologien wie DeepRay schützen mit Künstlicher Intelligenz vor Malware. Service und Support gehören zum G DATA Campus in Bochum. G DATA Lösungen sind in 90 Ländern erhältlich und wurden vielfach ausgezeichnet.


 

Passende Artikel zum Thema

Realität der KI in der Cybersecurity

Es herrscht ein großer Hype um den Einsatz von künstlicher Intelligenz (KI) in der Cybersecurity. Die Wahrheit ist, dass sich ➡ Weiterlesen

G DATA Bedrohungsanalyse 2020

G DATA Bedrohungsanalyse 2020: Cyberattacken im Sekundentakt. Zahl der abgewehrten Cyberattacken stieg vom ersten zum zweiten Halbjahr um mehr als ➡ Weiterlesen

Agent Tesla trickst IT-Sicherheit aus

Sophos stellt heute einen neuen Report zur Malware Agent Tesla vor: "Agent Tesla Amps Up Information Stealing Attacks". Darin beschreiben ➡ Weiterlesen

Effiziente Betrugsbekämpfung ist verhaltensbasiert

Viele Unternehmen nutzen für die Betrugsbekämpfung Maßnahmen, die mittlerweile überholt sind und nicht ausreichend funktionieren. Dazu gehören zum Beispiel die ➡ Weiterlesen