Gootkit Banking-Trojaner zielt auf Deutschland

Sicherheitsforscher von Malwarebytes warnen vor Angriffen des Banking-Trojaners Gootkit, der deutsche Bankkunden im Visier hat. Die Schadsoftware wird über eine kompromittierte Webseite verteilt.


Anzeige

Ich bin auf Twitter über den nachfolgenden Tweet auf das Sicherheitsrisiko für deutsche Bankkunden aufmerksam geworden. Der betreffende Malwarebytes-Beitrag ist hier zu finden.

Gootkit Banking-Trojaner zielt auf Deutschland

Gootkit ist ein sehr ausgefeilter Banking-Trojaner, der seit 2014 existiert und über eine Reihe von Funktionen wie Tastenanschläge oder Videoaufzeichnung verfügt, die darauf ausgelegt sind, Informationen zu finanziellen Angelegenheiten zu stehlen. Am 23. November erhielten die Malwarebytes-Sicherheitsforscher von einem Partner eine Warnung über ein Wiederaufleben von Gootkit-Infektionen in Deutschland.

In dieser jüngsten Kampagne verlassen sich Bedrohungsakteure auf kompromittierte Websites, um Benutzer sozial zu manipulieren, indem sie eine Forumsvorlage als Köder benutzen, die sie anweist, eine bösartige Datei herunterzuladen. Bei der Analyse des komplexen Malware-Loaders haben die Sicherheitsforscher eine überraschende Entdeckung gemacht. Die Opfer erhalten entweder Gootkit oder in einigen Fällen die REvil-Ransomware (Sodinokibi). Die Entscheidung, welche Schadsoftware auszuliefern ist, erfolgt nach einer Überprüfung durch die kriminelle Infrastruktur.

Etwa zur gleichen Zeit trafen Berichte von einigen Malwarebytes-Partnern und ihren Internetanbietern (ISPs) über Gootkit-bezogene Datentransfers bei den Sicherheitsforschern ein. Die Sicherheitsforscher konnten Gootkit-Erkennungen durch Telemetriedaten bestätigen, die alle in Deutschland gesammelt wurden. Die folgende Karte zeigt Infektionen.

Infektionen mit dem Gootkit Banking-Trojaner
Infektionen mit dem Gootkit Banking-Trojaner, Quelle: Malwarebytes

Der Banking-Trojaner wird über eine gefälschte Forumsseite verteilt, wobei eine interessante Technik der Suchmaschinenoptimierung (SEO) verwendet wird. Die Vorlage ahmt einen Forums-Thread nach, in dem ein Benutzer auf Deutsch um Hilfe zu einem bestimmten Thema bittet. Er erhält vorgeblich auch eine Antwort, die genau das zu sein scheint, wonach er gesucht hat.


Gefälschte Forumsvolage, Quelle: Screenshot der Seite


Anzeige

Es wird eine ZIP-Datei heruntergeladen, die ein Script enthält. Wird dieses ausgeführt, installiert sich der Trojaner. Es ist erwähnenswert, dass die gehackten Sites, die diese Vorlage hosten, nicht deutsch sind (nur die Vorlage ist deutsch); sie sind einfach zufällig anfällig verwundbar und werden als Teil der Infrastruktur des Bedrohungsakteurs verwendet. Die Details sind diesem Malwarebytes-Blog-Beitrag zu entnehmen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Gootkit Banking-Trojaner zielt auf Deutschland

  1. No sagt:

    Ein „guggelt“ des Titels ergab nur einen Treffer: lacarica.net
    Die Seite sieht sehr merkwürdig aus, ein DNS-Anfrage liefert viele IP’s, das Land (GeoIP) wollte ich jetzt nicht nachsehen.

    • Günter Born sagt:

      Die sind gehackt worden, wie im Artikel angedeutet. Interessanter ist die Karte Deutschlands, wo die Infektionen zu finden sind. Offenbar ist in jeder größeren Stadt jemand bereit gewesen, den ZIP-Beifang zu entpacken und auszuführen.

  2. Stephan sagt:

    Wieder das alte Problem, irgendwelche Dateien irgendwo runterladen und ausführen.

    Gab es schon vor Jahrzehnten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.