Meldung vom 15. Januar 2021

Kronos und GootKit nehmen Nutzer aus Deutschland aufs Korn

Eine gerade aktuelle Malware-Kampagne richtet sich gegen Nutzer aus Deutschland. Dabei kommen mit „Kronos“ und „Gootkit“ zwei altbekannte Schadprogramme erneut zum Zuge. Verbreitet wird die Schadsoftware über manipulierte Suchmaschinenergebnisse.

Bereits am Donnerstag begann die aktuelle Welle zu rollen. Besonders Nutzer aus Deutschland scheinen  im Fokus der Angreifer zu stehen. Für eine breitgefächerte Verteilung sorgten zahlreiche kompromittierte Internetseiten. Dabei wird eines von zwei Schadprogrammen installiert: entweder Gootkit oder Kronos. Bei beiden Schadprogrammen handelt es sich um Bankingtrojaner.

Tim Berghoff

Banking-Trojaner sind alles andere als Schnee von gestern. Die Verteilung von Schadprogrammen über manipulierte Suchergebnisse beweist einmal mehr, dass das Alter einer Angriffsmethode nicht bedeutet, dass sie obsolet ist.

Tim Berghoff

G DATA Security Evangelist

Gozi versteckt sich in der Registry

Kronos wird im Windows Bildbetrachter geladen

Beide Schadprogramme werden mit einem so genannten "Loader" auf ein System gebracht, der unter dem Namen "Gozi" bekannt ist. Auch dieser Loader ist ein alter Bekannter - früher wurde mit diesem Loader auch bereits eine andere Ransomware namens Sodinokibi verteilt (Karsten Hahn hat zu Sodinokibi auch einen Blog-Artikel verfasst). Was den Gozi-Loader besonders macht, ist nicht nur, dass dieser aktuell mit Kronos eine andere Schadsoftware als üblich verteilt. Dieser Loader versteckt sich auch besonders gut vor dem Zugriff durch Schutzprogramme, indem der gesamte Schadcode nicht als Datei auf dem PC abgelegt, sondern in der Systemdatenbank (der „Registry“) gespeichert wird.

G DATA-Kunden sind durch verschiedene proaktive Technologien wie BEAST und DeepRay geschützt. 

Vergiftete Suchmaschinen

Derart manipulierte Seiten beherbergen die Schadsoftware - ein falscher Klick genügt hier.

Durch die Manipulation von Suchmaschinenergebnissen rutschen die kompromittierten Webseiten etwa auch in der Google-Suche nach oben und werden daher öfter angeklickt. Diese Manipulation findet unter anderem durch die Einbettung von Schlüsselwörtern und durch Verlinkung mit anderen Webseiten statt.  Für Suchmaschinen bedeuten relevante Schlüsselwörter und dichte Verlinkung, dass die jeweilige Seite relevant ist und plaziert sie daher höher in der Trefferliste. Das Ergebnis sind noch mehr Infektionen. Diese Technik nennt sich „Search Engine Poisoning“ (Deutsch: „Suchmaschinen-Vergiftung“). Diese positioniert die Seiten höher in der Trefferliste, wohingegen die legitimen Webseiten, die unter normalen Umständen eher angeklickt werden, weiter nach unten rutschen.

 

Media:

Meldung vom 15. Januar 2021

G DATA CyberDefense AG
Unternehmenskommunikation
Königsallee 178 • 44799 Bochum

Kathrin Beckert-Plewka
Public Relations Manager

Kontakt

Kathrin Beckert-Plewka

Phone: +49 234 9762 - 507
kathrin.beckert@remove-this.gdata.de

Vera Haake
Pressesprecherin

Kontakt

Vera Haake

Phone: +49 234 9762 - 376
vera.haake@remove-this.gdata.de

Stefan Karpenstein
Public Relations Manager

Kontakt

Stefan Karpenstein

Phone: +49 234 9762 - 517
stefan.karpenstein@remove-this.gdata.de

zurück zur Übersicht
Meldung vom 15. Januar 2021