Sicherheitsforscher von Malwarebytes warnen vor Angriffen des Banking-Trojaners Gootkit, der deutsche Bankkunden im Visier hat. Die Schadsoftware wird über eine kompromittierte Webseite verteilt.
Anzeige
Ich bin auf Twitter über den nachfolgenden Tweet auf das Sicherheitsrisiko für deutsche Bankkunden aufmerksam geworden. Der betreffende Malwarebytes-Beitrag ist hier zu finden.
Gootkit ist ein sehr ausgefeilter Banking-Trojaner, der seit 2014 existiert und über eine Reihe von Funktionen wie Tastenanschläge oder Videoaufzeichnung verfügt, die darauf ausgelegt sind, Informationen zu finanziellen Angelegenheiten zu stehlen. Am 23. November erhielten die Malwarebytes-Sicherheitsforscher von einem Partner eine Warnung über ein Wiederaufleben von Gootkit-Infektionen in Deutschland.
In dieser jüngsten Kampagne verlassen sich Bedrohungsakteure auf kompromittierte Websites, um Benutzer sozial zu manipulieren, indem sie eine Forumsvorlage als Köder benutzen, die sie anweist, eine bösartige Datei herunterzuladen. Bei der Analyse des komplexen Malware-Loaders haben die Sicherheitsforscher eine überraschende Entdeckung gemacht. Die Opfer erhalten entweder Gootkit oder in einigen Fällen die REvil-Ransomware (Sodinokibi). Die Entscheidung, welche Schadsoftware auszuliefern ist, erfolgt nach einer Überprüfung durch die kriminelle Infrastruktur.
Anzeige
Etwa zur gleichen Zeit trafen Berichte von einigen Malwarebytes-Partnern und ihren Internetanbietern (ISPs) über Gootkit-bezogene Datentransfers bei den Sicherheitsforschern ein. Die Sicherheitsforscher konnten Gootkit-Erkennungen durch Telemetriedaten bestätigen, die alle in Deutschland gesammelt wurden. Die folgende Karte zeigt Infektionen.
Infektionen mit dem Gootkit Banking-Trojaner, Quelle: Malwarebytes
Der Banking-Trojaner wird über eine gefälschte Forumsseite verteilt, wobei eine interessante Technik der Suchmaschinenoptimierung (SEO) verwendet wird. Die Vorlage ahmt einen Forums-Thread nach, in dem ein Benutzer auf Deutsch um Hilfe zu einem bestimmten Thema bittet. Er erhält vorgeblich auch eine Antwort, die genau das zu sein scheint, wonach er gesucht hat.
Gefälschte Forumsvolage, Quelle: Screenshot der Seite
Es wird eine ZIP-Datei heruntergeladen, die ein Script enthält. Wird dieses ausgeführt, installiert sich der Trojaner. Es ist erwähnenswert, dass die gehackten Sites, die diese Vorlage hosten, nicht deutsch sind (nur die Vorlage ist deutsch); sie sind einfach zufällig anfällig verwundbar und werden als Teil der Infrastruktur des Bedrohungsakteurs verwendet. Die Details sind diesem Malwarebytes-Blog-Beitrag zu entnehmen.
Anzeige
Ein "guggelt" des Titels ergab nur einen Treffer: lacarica.net
Die Seite sieht sehr merkwürdig aus, ein DNS-Anfrage liefert viele IP's, das Land (GeoIP) wollte ich jetzt nicht nachsehen.
Die sind gehackt worden, wie im Artikel angedeutet. Interessanter ist die Karte Deutschlands, wo die Infektionen zu finden sind. Offenbar ist in jeder größeren Stadt jemand bereit gewesen, den ZIP-Beifang zu entpacken und auszuführen.
Wieder das alte Problem, irgendwelche Dateien irgendwo runterladen und ausführen.
Gab es schon vor Jahrzehnten.