![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitsforscher von Malwarebytes warnen vor Angriffen des Banking-Trojaners Gootkit, der deutsche Bankkunden im Visier hat. Die Schadsoftware wird \u00fcber eine kompromittierte Webseite verteilt. <\/p>\nSicherheitsforscher von Malwarebytes warnen vor Angriffen des Banking-Trojaners Gootkit, der deutsche Bankkunden im Visier hat. Die Schadsoftware wird \u00fcber eine kompromittierte Webseite verteilt. <\/p>\n
<\/p>\n
Gootkit ist ein sehr ausgefeilter Banking-Trojaner, der seit 2014 existiert und \u00fcber eine Reihe von Funktionen wie Tastenanschl\u00e4ge oder Videoaufzeichnung verf\u00fcgt, die darauf ausgelegt sind, Informationen zu finanziellen Angelegenheiten zu stehlen. Am 23. November erhielten die Malwarebytes-Sicherheitsforscher von einem Partner eine Warnung \u00fcber ein Wiederaufleben von Gootkit-Infektionen in Deutschland. <\/p>\n In dieser j\u00fcngsten Kampagne verlassen sich Bedrohungsakteure auf kompromittierte Websites, um Benutzer sozial zu manipulieren, indem sie eine Forumsvorlage als K\u00f6der benutzen, die sie anweist, eine b\u00f6sartige Datei herunterzuladen. Bei der Analyse des komplexen Malware-Loaders haben die Sicherheitsforscher eine \u00fcberraschende Entdeckung gemacht. Die Opfer erhalten entweder Gootkit oder in einigen F\u00e4llen die REvil-Ransomware (Sodinokibi). Die Entscheidung, welche Schadsoftware auszuliefern ist, erfolgt nach einer \u00dcberpr\u00fcfung durch die kriminelle Infrastruktur.<\/p>\n Etwa zur gleichen Zeit trafen Berichte von einigen Malwarebytes-Partnern und ihren Internetanbietern (ISPs) \u00fcber Gootkit-bezogene Datentransfers bei den Sicherheitsforschern ein. Die Sicherheitsforscher konnten Gootkit-Erkennungen durch Telemetriedaten best\u00e4tigen, die alle in Deutschland gesammelt wurden. Die folgende Karte zeigt Infektionen.<\/p>\n Der Banking-Trojaner wird \u00fcber eine gef\u00e4lschte Forumsseite verteilt, wobei eine interessante Technik der Suchmaschinenoptimierung (SEO) verwendet wird. Die Vorlage ahmt einen Forums-Thread nach, in dem ein Benutzer auf Deutsch um Hilfe zu einem bestimmten Thema bittet. Er erh\u00e4lt vorgeblich auch eine Antwort, die genau das zu sein scheint, wonach er gesucht hat. <\/p>\n Es wird eine ZIP-Datei heruntergeladen, die ein Script enth\u00e4lt. Wird dieses ausgef\u00fchrt, installiert sich der Trojaner. Es ist erw\u00e4hnenswert, dass die gehackten Sites, die diese Vorlage hosten, nicht deutsch sind (nur die Vorlage ist deutsch); sie sind einfach zuf\u00e4llig anf\u00e4llig verwundbar und werden als Teil der Infrastruktur des Bedrohungsakteurs verwendet. Die Details sind diesem Malwarebytes-Blog-Beitrag<\/a> zu entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":" Sicherheitsforscher von Malwarebytes warnen vor Angriffen des Banking-Trojaners Gootkit, der deutsche Bankkunden im Visier hat. Die Schadsoftware wird \u00fcber eine kompromittierte Webseite verteilt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-238200","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238200","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=238200"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238200\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=238200"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=238200"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=238200"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Ich bin auf Twitter \u00fcber den nachfolgenden Tweet<\/a> auf das Sicherheitsrisiko f\u00fcr deutsche Bankkunden aufmerksam geworden. Der betreffende Malwarebytes-Beitrag ist hier zu finden<\/a>.<\/p>\n
![\"Gootkit](\"https:\/\/i.imgur.com\/6eKTRjF.png\"\/ "\\"Gootkit")
<\/a><\/p>\n![\"Infektionen](\"https:\/\/i.imgur.com\/w8C2sRe.png\"\/ "\\"Infektionen")
Infektionen mit dem Gootkit Banking-Trojaner, Quelle: Malwarebytes<\/p>\n![](\"https:\/\/i.imgur.com\/8EX8R2v.png\"\/)
Gef\u00e4lschte Forumsvolage, Quelle: Screenshot der Seite<\/p>\n