Aktuelles - geschrieben von dp am Sonntag, Januar 17, 2021 20:43 - noch keine Kommentare
Kronos und GootKit: Malware-Kampagne attackiert Nutzer in Deutschland
G DATA CyberDefense AG warnt vor Comeback altbekannter Malware
[datensicherheit.de, 17.01.2021] Nach aktuellen Erkenntnissen der G DATA CyberDefense AG richtet sich derzeit eine Malware-Kampagne gegen Nutzer aus Deutschland. Dabei kämen mit „Kronos“ und „Gootkit“ zwei altbekannte Schadprogramme erneut zum Zuge – verbreitet werde die Schadsoftware über manipulierte Suchmaschinen-Ergebnisse. G-DATA-Kunden seien durch verschiedene proaktive Technologien wie „BEAST“ und „DeepRay“ geschützt.

Foto: G Data
Tim Berghoff: „Gootkit“ und „Kronos“ bekannt, jedoch kein „Schnee von gestern“
Seit 14. Januar 2021 erste Malware-Welle
Bereits am 14. Januar 2021 habe die aktuelle Welle zu rollen begonnen: „Besonders Nutzer aus Deutschland scheinen im Fokus der Angreifer zu stehen. Für eine breitgefächerte Verteilung sorgten zahlreiche kompromittierte Internetseiten.“ Dabei werde eines von zwei Schadprogrammen installiert – entweder „Gootkit“ oder „Kronos“. Bei beiden handele es sich um Banking-Trojaner.
Diese seien alles Andere als „Schnee von gestern“, betont Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense. „Die Verteilung von Schadprogrammen über manipulierte Suchergebnisse beweist einmal mehr, dass das Alter einer Angriffsmethode nicht bedeutet, dass sie obsolet ist.“
In der Registry versteckter „Gozi“ lädt Malware
Beide Schadprogramme würden mit einem sogenannten Loader auf ein System gebracht, welcher unter dem Namen „Gozi“ bekannt ist. Auch dieser Loader sei ein „alter Bekannter“ – früher sei mit diesem auch bereits eine andere Ransomware namens „Sodinokibi“ verteilt worden.
Was den „Gozi“-Loader besonders mache, sei nicht nur, „dass dieser aktuell mit ,Kronos‘ eine andere Schadsoftware als üblich verteilt“. Dieser Loader verstecke sich auch besonders gut vor dem Zugriff durch Schutzprogramme, indem der gesamte Schadcode nicht als Datei auf dem PC abgelegt, sondern in der Systemdatenbank – der „Registry“ – gespeichert werde.
Vergiftete Suchmaschinen verbreiten Malware
Durch die Manipulation von Suchmaschinen-Ergebnissen rutschten die kompromittierten Webseiten etwa auch in der Google-Suche nach oben und würden daher öfter angeklickt. Diese Manipulation finde unter anderem durch die Einbettung von Schlüsselwörtern und durch Verlinkung mit anderen Webseiten statt.
Für Suchmaschinen bedeuteten relevante Schlüsselwörter und dichte Verlinkung, dass die jeweilige Seite relevant sei und platziere sie daher höher in der Trefferliste. Das Ergebnis seien noch mehr Infektionen. Diese Technik nenne sich „Search Engine Poisoning“ (auf Deutsch: „Suchmaschinen-Vergiftung“). „Diese positioniert die Seiten höher in der Trefferliste, wohingegen die legitimen Webseiten, die unter normalen Umständen eher angeklickt werden, weiter nach unten rutschen.“
Weitere Informationen zum Thema:
datensicherheit.de, 11.12.2020
EMA-Hack: Gezielter Cyber-Angriff auf das Herz unserer KRITIS
Aktuelles, Experten, Veranstaltungen - Feb. 10, 2025 0:19 - noch keine Kommentare
Vorankündigung des IT-Sicherheitscluster e.V.: 4. Regenburger Cybersecurity-Kongress am 28. April 2025
weitere Beiträge in Experten
- BfDI und DPC: Engerer Austausch zu Plattformen und Künstlicher Intelligenz vereinbart
- Öffentliche Sicherheit contra Privatsphäre: Biometrische KI-Gesichtserkennung in der Diskussion im Vorfeld der Bundestagswahl 2025
- Mahnung der Freien Ärzteschaft im ePA-Kontext: Krankheitsdaten sind keine Ware!
- „AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft
- AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen!
Aktuelles, Branche - Feb. 9, 2025 0:58 - noch keine Kommentare
Unermesslicher Datenhunger nicht zu ignorieren: Forderungen der Wirtschaft, Staaten und KI zunehmend intensiver
weitere Beiträge in Branche
- NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert
- Industrie sollte Cyber-Sicherheit ihrer Geräte, Maschinen und Anlagen dringend auf ihre Agenda 2025 setzen!
- Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken!
- IT-Sicherheit: Gedanken zum Generationenkonflikt
- Finanzsektor: Herausforderungen und zugleich Chancen durch DORA
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren