Campanha de malware: Kronos e GootKit visam usuários da Alemanha. Com "Kronos" e "Gootkit", dois programas de malware bem conhecidos estão sendo usados novamente. O malware se espalha por meio de resultados de mecanismos de pesquisa manipulados.
A onda atual começou a rolar na quinta-feira. Usuários da Alemanha, em particular, parecem ser o foco dos atacantes. Numerosos sites comprometidos garantiram ampla distribuição. Ele instala um dos dois programas maliciosos: Gootkit ou Kronos. Ambos os programas maliciosos são Trojans bancários.
"Trojans bancários são tudo menos notícias de ontem", diz Tim Berghoff, Evangelista de segurança da G DATA CyberDefense. "A distribuição de programas maliciosos por meio de resultados de pesquisa manipulados prova mais uma vez que a idade de um método de ataque não significa que seja obsoleto."
Gozi se esconde no registro
Ambos os programas maliciosos são carregados em um sistema usando um chamado "carregador" conhecido como "Gozi". Este carregador também é um velho conhecido – outro ransomware chamado Sodinokibi foi distribuído anteriormente com este carregador (Karsten Hahn também escreveu um artigo de blog sobre Sodinokibi). O que torna o carregador Gozi especial não é apenas o fato de atualmente distribuir um tipo de malware diferente do normal, o Kronos. Este carregador também se esconde particularmente bem do acesso por programas de segurança, não armazenando todo o código malicioso como um arquivo no PC, mas armazenando-o no banco de dados do sistema (o "registro"). Os clientes G DATA são protegidos por várias tecnologias proativas, como BEAST e DeepRay.
Motores de busca envenenados
Ao manipular os resultados do mecanismo de pesquisa, os sites comprometidos também aparecem nas pesquisas do Google e, portanto, são clicados com mais frequência. Essa manipulação ocorre, entre outras coisas, pela incorporação de palavras-chave e links para outros sites. Para os mecanismos de pesquisa, palavras-chave relevantes e links densos significam que a respectiva página é relevante e, portanto, a coloca no topo da lista de ocorrências. O resultado é ainda mais infecções. Essa técnica é chamada de "Envenenamento de mecanismo de pesquisa". Isso posiciona as páginas mais acima na lista de ocorrências, enquanto os sites legítimos, que têm maior probabilidade de serem clicados em circunstâncias normais, deslizam ainda mais para baixo.
Mais sobre isso em GData.de
Sobre o G Data Com serviços abrangentes de defesa cibernética, o inventor do AntiVirus permite que as empresas se defendam contra crimes cibernéticos. Mais de 500 colaboradores garantem a segurança digital de empresas e usuários. Fabricado na Alemanha: Com mais de 30 anos de experiência em análise de malware, a G DATA realiza pesquisas e desenvolvimento de software exclusivamente na Alemanha. As mais altas demandas de proteção de dados são a principal prioridade. Em 2011, a G DATA emitiu uma garantia "no backdoor" com o selo de confiança "IT Security Made in Germany" da TeleTrust eV. A G DATA oferece um portfólio de proteção antivírus e endpoint, testes de penetração e resposta a incidentes para análises forenses, verificações de status de segurança e treinamento de conscientização cibernética para defender as empresas com eficiência. Novas tecnologias como DeepRay protegem contra malware com inteligência artificial. Serviço e suporte fazem parte do campus da G DATA em Bochum. As soluções G DATA estão disponíveis em 90 países e receberam inúmeros prêmios.