Blogheim.at Logo
Start Aktuelles Vorsicht vor mutiertem Banking Trojaner Gootloader

Vorsicht vor mutiertem Banking Trojaner Gootloader

Aktuelles Titelthema

Ich habe keine Lust mehr auf Lockdown! [Ein Kommentar]

„Ich will keinen Lockdown mehr. Ich werde so müde all des Ganzen. Es ist un-menschlich." „Und ich will kein Corona bekommen, verbreiten und keine Menschen...

Schauen wir zu sehr auf Virologen und Inzidenzzahlen? [Titelthema Lockdown]

Mit Blick auf die Aussagen der PsychologInnen stellt sich nun die Frage, ob in den letzten Monaten das Problem psychischer Erkrankungen im Lockdown nicht...

Kernteil: Kritische Betrachtung [Titelthema Lockdown]

Fehlende Strukturen, nicht vorhandene Linien, sich ständig ändernde Situationen im Lockdown. Die Coronakrise ist nicht einfach. Sicherlich, niemand von uns will mit entscheidenden Politikern und...

Kernteil – Psychologische Auswirkungen [Titelthema Lockdown]

Wie sieht die psychologische Komponente aus? Wir alle gehen unterschiedlich mit der Situation im Lockdown um. Es gibt Menschen, die reiben sich auf, andere...

Facebook-Themen

Impf-Infos im Facebook-Newsfeed

In den USA hat man begonnen, jeden Erwachsenen mit dem Covid-19-Impfstoff zu impfen. Also nicht bestimmte Zielgruppen wie in einigen anderen Ländern. Facebook startet jetzt...

Haben Autokraten auf Facebook mehr Macht?

Wer die Facebook-Algorithmen für sich zu nutzen weiß, kann davon profitieren. Das gilt nicht nur für den Influencer von nebenan, der sein neues Katzenvideo...

Kreditbetrüger suchen wieder Opfer auf Facebook

Viele Menschen sind durch die Corona-Krise in einer finanziell schwierigen Situation, und diese wird von Kriminellen ausgenutzt. Sie bieten Kredite und Darlehen über Facebook an....

Gesetzespaket zwingt Facebook zur Löschung von Hass- und Hetzpostings

Hass- und Hetzpostings kommen viel zu häufig vor. Allerdings zwingt das Gesetz die sozialen Netzwerke zu Veränderungen. Auf Facebook und Instagram gibt es eine neue...
-WERBUNG-

Aus „Gootkit“ wird „Gootloader“: Banking Trojaner mutiert zu komplexer Malware-Plattform mit multiplen Angriffsvektoren

- Werbung -

Die Gootkit-Malware-Familie ist ein bekannter Scherge – ein Trojaner, der sich initial auf den Diebstahl von Bankgeschäftsdaten fokussiert und sich heute unter anderem des Analysetools Cobalt-Strike, der Banking Malware Kronos sowie der REvil-Ransomware bedient. IT-Security-Experten haben sich bereits 2020 intensiv mit der Schadsoftware und insbesondere ihrer geschickten Übermittlungsmechanismen beschäftigt. Neu ist nun, dass die Angreifer die Malware zu einer Multi-Payload-Plattform ausgebaut haben.

Mit variablen Angriffsmechanismen – inklusive Social Engineering – ist sie heute am stärksten in Deutschland sowie in den USA und Südkorea aktiv. Aufgrund der Aktualität und des Plattform-Charakters haben die Security-Experten der SophosLabs der Multi-Payload-Malware einen eigenen Namen gegeben: Gootloader.

Die Gootloader-Angreifer hacken sich in legitime Webseiten, verändern diese subtil und manipulieren auch die SEO, um die gefälschten Webseiten den Nutzern als Top-Ergebnisse in ihren Suchmaschinenabfragen, wie zum Beispiel Google Search, anzuzeigen. Der gezielte Fokus auf bestimmte Länder geht neben den lokalisierten Fake-Webseiten sogar so weit, dass Nutzer von „Nicht-Ziel-Ländern“, die auf solch einer Webseite landen, lediglich zufälligen Fake-Inhalte angezeigt bekommen und sonst nichts weiter passiert.

„Die Schöpfer von Gootloader verwenden eine Reihe von Social-Engineering-Tricks, die selbst technisch versierte IT-Anwender täuschen können. Allerdings existieren Warnzeichen, auf die man achten sollte“,

so Gabor Szappanos, Threat Research Director bei Sophos.

„Dazu gehören Google-Suchergebnisse mit dem Verweis auf Webseiten, die in keinerlei logischem Zusammenhang mit den scheinbar angebotenen Ratschlägen stehen. Auffällig sind auch Tipps, die genau mit den Suchbegriffen übereinstimmen, die in der anfänglichen Frage verwendet wurden, sowie Seiten im Stil eines Forums.“

Wer sich außerdem aktiv gegen Payloadsysteme wie Gootloader schützen will, kann die Funktion ‚Erweiterungen bei bekannten Dateitypen ausblenden‘ in den Ordneroptionen des Windows Explorers deaktivieren. Dadurch können Nutzer erkennen, dass das von den Angreifern gelieferte ZIP-Paket eine Datei mit .js-Endung enthält. Javascript.-Dateien werden immer wieder für Hackerangriffe verwendet und das Ausführen einer solchen heruntergeladenen Datei sollte immer die Alarmglocken klingeln lassen. Zusätzlich können Script-Blocker wie beispielsweise NoScript für Firefox für Sicherheit vor solchen Attacken sorgen, da sie den Fake-Inhalt einer gehackten Internetseite blocken.

Der komplette technische Report kann hier eingesehen werden: „Gootloader“ expands its payload delivery options.

- Werbung -

Das könnte dich auch interessieren: Erneute Trojaner-Gefahr durch falsche Paket SMS

Quelle: Sophos Technology GmbH
Artikelbild: Shutterstock / Von Blue Island
- Werbung -
Mimikama-Buch „Angriff auf die Demokratie"
Mimikama-Buch „Angriff auf die Demokratie"

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.

Die Corona-Krise! Wir brauchen deine Unterstützung! Die Corona-Krise stellt uns alle vor großen Herausforderungen und bringt uns an unsere Grenzen. Jeder gibt seinen Teil dazu bei um zu Unterstützen. Gegenüber anderen Medien haben wir keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle offen halten. Wenn jeder, der unsere Faktenchecks liest, dabei hilft, diese zu finanzieren, wird es mimikama auch weiterhin geben und wir können gemeinsam gegen Fakenews vorgehen. Unterstütze uns und tragen auch Du dazu bei, die Zukunft von Mimikama zu sichern. Hier kannst Du unterstützen: via PayPal, Steady oderPatreon

Gefälschte deutsche Impfpässe im Umlauf

Bundesweit gefälschte Impfpässe im Umlauf: Frankfurter Impfzentrum erstattet Anzeige! Nach Recherchen von REPORT MAINZ werden im Messengerdienst Telegram in mehreren Gruppen gefälschte deutsche Impfpässe zum...

Intensivkapazitäten werden nicht gezielt abgebaut

Immer wieder wird behauptet, dass die Intensivkapazitäten trotz Corona-Pandemie abgebaut werden - doch dies entspricht nicht den Tatsachen. Im Zusammenhang mit der Behauptung, dass Intensivkapazitäten...

Nutzer besser gegen COVID-19-bezogene Phishing-Angriffe gewappnet

Der beste Weg, sich gegen Phishing zu wappnen, ist den Nutzern beizubringen, worauf man achten muss. Etwas, das wir schon seit Jahren mit Mimikama...

Impfspritze geht nicht ins Blut? Was damit gemeint ist.

„Die Impfspritze geht nicht ins Blut." Mit dieser Passage soll der neue Österreichische Gesundheitsminister Mückstein diskreditiert werden. Doch worum geht es? Mit einem 30-sekündigen Videoausschnitt...

Kennst du diese iOS-Funktionen?

Manches liegt im Verborgenen. So auch einige nützliche Funktionen des iPhones, die Apple-Nutzenden mit dem neuen Update iOS 14 zur Verfügung stehen. Welche versteckten Neuerungen...
-WERBUNG-
-WERBUNG-