Aktuelles

Vorsicht vor mutiertem Banking Trojaner Gootloader

Kathrin Helmreich, 4. März 2021
Banking Trojaner mutiert - Artikelbild: Shutterstock / Von Blue Island
Banking Trojaner mutiert - Artikelbild: Shutterstock / Von Blue Island

Aus „Gootkit“ wird „Gootloader“: Banking Trojaner mutiert zu komplexer Malware-Plattform mit multiplen Angriffsvektoren

Die Gootkit-Malware-Familie ist ein bekannter Scherge – ein Trojaner, der sich initial auf den Diebstahl von Bankgeschäftsdaten fokussiert und sich heute unter anderem des Analysetools Cobalt-Strike, der Banking Malware Kronos sowie der REvil-Ransomware bedient. IT-Security-Experten haben sich bereits 2020 intensiv mit der Schadsoftware und insbesondere ihrer geschickten Übermittlungsmechanismen beschäftigt. Neu ist nun, dass die Angreifer die Malware zu einer Multi-Payload-Plattform ausgebaut haben.

Mit variablen Angriffsmechanismen – inklusive Social Engineering – ist sie heute am stärksten in Deutschland sowie in den USA und Südkorea aktiv. Aufgrund der Aktualität und des Plattform-Charakters haben die Security-Experten der SophosLabs der Multi-Payload-Malware einen eigenen Namen gegeben: Gootloader.

Die Gootloader-Angreifer hacken sich in legitime Webseiten, verändern diese subtil und manipulieren auch die SEO, um die gefälschten Webseiten den Nutzern als Top-Ergebnisse in ihren Suchmaschinenabfragen, wie zum Beispiel Google Search, anzuzeigen. Der gezielte Fokus auf bestimmte Länder geht neben den lokalisierten Fake-Webseiten sogar so weit, dass Nutzer von „Nicht-Ziel-Ländern“, die auf solch einer Webseite landen, lediglich zufälligen Fake-Inhalte angezeigt bekommen und sonst nichts weiter passiert.

„Die Schöpfer von Gootloader verwenden eine Reihe von Social-Engineering-Tricks, die selbst technisch versierte IT-Anwender täuschen können. Allerdings existieren Warnzeichen, auf die man achten sollte“,

so Gabor Szappanos, Threat Research Director bei Sophos.

„Dazu gehören Google-Suchergebnisse mit dem Verweis auf Webseiten, die in keinerlei logischem Zusammenhang mit den scheinbar angebotenen Ratschlägen stehen. Auffällig sind auch Tipps, die genau mit den Suchbegriffen übereinstimmen, die in der anfänglichen Frage verwendet wurden, sowie Seiten im Stil eines Forums.“

Wer sich außerdem aktiv gegen Payloadsysteme wie Gootloader schützen will, kann die Funktion ‚Erweiterungen bei bekannten Dateitypen ausblenden‘ in den Ordneroptionen des Windows Explorers deaktivieren. Dadurch können Nutzer erkennen, dass das von den Angreifern gelieferte ZIP-Paket eine Datei mit .js-Endung enthält. Javascript.-Dateien werden immer wieder für Hackerangriffe verwendet und das Ausführen einer solchen heruntergeladenen Datei sollte immer die Alarmglocken klingeln lassen. Zusätzlich können Script-Blocker wie beispielsweise NoScript für Firefox für Sicherheit vor solchen Attacken sorgen, da sie den Fake-Inhalt einer gehackten Internetseite blocken.

Der komplette technische Report kann hier eingesehen werden: „Gootloader“ expands its payload delivery options.

[mk_ad]

Das könnte dich auch interessieren: Erneute Trojaner-Gefahr durch falsche Paket SMS

Quelle: Sophos Technology GmbH
Artikelbild: Shutterstock / Von Blue Island

Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung!

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel