Categories: Workspace

Hacker nehmen deutsche Nutzer mit Banking-Malware Gootkit ins Visier

Malwarebytes warnt vor einer Rückkehr des Banking-Trojaners Gootkit. Hacker setzen die Malware derzeit offenbar vermehrt gegen Nutzer in Deutschland ein. Neu ist, dass sie bei ihren Angriffen Gootkit mit der Ransomware REvil (Sodinokibi) kombinieren.

In der aktuellen Kampagne nutzen die Cyberkriminellen kompromittierte Websites, um per Social Engineering Nutzer zum Download der Schadsoftware zu bewegen. „Bei der Analyse des komplexen Malware-Loaders haben wir eine überraschende Entdeckung gemacht. Die Opfer erhalten Gootkit selbst oder, in einigen Fällen, die Ransomware REvil. Die Entscheidung, die eine oder andere Nutzlast auszuliefern, erfolgt nach einer Überprüfung durch die kriminelle Infrastruktur.“

Zuerst hatte der Sicherheitsforscher TheAnalyst im November von den Attacken auf deutsche Nutzer berichtet. Das CERT Bund bestätigte später die Rückkehr von Gootkit. Malwarebytes entdeckte schließlich bei der Auswertung von Telemetriedaten bundesweite Aktivitäten des Banking-Trojaners. In wenigen Tagen bereinigte Malwarebytes mehr als 600 infizierte Systeme.

Der Analyse der Forscher zufolge setzten die Hacker auf SEO-Techniken, um potenziellen Opfern auf sie zugeschnittene Websites zu präsentieren, die sie zum Download einer Datei verleiten sollen. Die Websites sind jeweils als Internet-Forum getarnt – der Download soll ein Problem des Nutzers lösen oder die Antwort zu einer Frage liefern. „Dieser gefälschte Forumsbeitrag wird dynamisch erstellt, wenn das richtige Opfer auf der kompromittierten Website surft. Ein Skript entfernt den legitimen Inhalt der Webseite und fügt seinen eigenen Inhalt hinzu.“

Die heruntergeladene Datei wiederum enthält ein Skript, dessen Ausführung die Infizierung des Systems einleitet. Sie läuft in mehreren Schritten ab, wobei neben JavaScript auch ein PowerShell-Skript und ein auf Microsoft .NET basierender Loader zum Einsatz kommen.

Den Loader vergleichen die Forscher mit einer Matrjoschka-Puppe. Er führt mehrere Schritte aus, um einer Erkennung durch Sicherheitssoftware zu entgehen. Unter anderem wird der eigentliche Schadcode unter einem zufällig generierten Schlüssel in der Registry abgelegt.

Nach welchen Kriterien statt Gootkit die Ransomware ausgeliefert wird, konnten die Forscher nicht ermitteln. Im Labor ließ sich nur eine Infektion mit REvil reproduzieren. Da die Lösegeldforderung auf die Domain „Decryptor.top“ verweist, gehen die Forscher zudem davon aus, dass es sich um eine ältere Variante von REvil handelt.

„Banking-Trojaner stellen ein völlig anderes Geschäftsmodell dar als Lösegeld-Trojaner“, kommentierte Malwarebytes. „Letztere sind in den vergangenen Jahren wirklich aufgeblüht und haben Kriminellen Millionen von Dollar eingebracht, zum Teil dank der hohen Lösegeldzahlungen von hochrangigen Opfern. Wir haben gesehen, wie sich Malware aus dem Bankensektor in Loader für Ransomware verwandelt hat, damit sich die verschiedenen Bedrohungsakteure auf das spezialisieren können, was sie am besten können. Die Zeit wird zeigen, was diese Rückkehr von Gootkit wirklich bedeutet und wie sie sich entwickeln könnte.“

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

UPDF: PDF-Software zu einem Viertel des Preises von Adobe

PDF-Bearbeitungssoftware jetzt im Black Friday Sale mit 50 Prozent Rabatt!

10 Stunden ago

Neuer Bedarf an Workplace Services durch DEX und KI

ISG untersucht deutschen Workplace-Services-Markt. Digital Employee Experience (DEX) gilt als Schlüssel für neues Wachstum.

11 Stunden ago

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

2 Tagen ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

2 Tagen ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

2 Tagen ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

3 Tagen ago