Banking-Malware Gootkit ist zurück und hat es auf PCs in Deutschland abgesehen

Das CERT-Bund und verschiedene Sicherheitsforscher warnen vor Trojaner-Attacken. Infektionen sind aber nicht ohne Weiteres möglich.

In Pocket speichern vorlesen Druckansicht 55 Kommentare lesen

(Bild: antb/Shutterstock.com)

Lesezeit: 2 Min.

Derzeit haben die Drahtzieher einer Malware-Kampagne in Deutschland Windows-Computer im Visier. Nach erfolgreichen Attacken landet entweder der Banking-Trojaner Gootkit oder der Erpressungstrojaner REvil auf PCs.

Darauf stieß ein Sicherheitsforscher mit dem Pseudonym TheAnalyst. Auch das Notfall-Team des Bundesamts für Sicherheit in der Informationstechnik (BSI) CERT-Bund warnt vor Attacken. In welchem Umfang PCs infiziert werden, ist bislang unklar. Sicherheitsforscher von Malwarebytes berichten hierzulande von 600 infizierten Computern.

Die unbekannten Angreifer versuchen Attacken mittels gefälschter Mails und präparierten Websites einzuleiten. Für eine erfolgreiche Infektion muss ein Opfer aber mitspielen. So muss es beispielsweise eine Website der Angreifer besuchen, eine Datei herunterladen und diese öffnen.

Damit das klappt, kompromittieren die Drahtzieher den Angaben des Sicherheitsforschers zufolge Websites und nutzen SEO-Plug-ins für ihre Zwecke. In einem Beispiel haben sie eine Seite dahingehend für die Internetsuche optimiert, dass die gefakte Forum-Website Informationen zu einem Tarifvertrag der Metall- und Elektroindustrie bereithält.

Wer über eine Internetsuche auf der Seite landet, stößt auf einen Thread in deutscher Sprache. Dort sucht jemand nach dem Tarifvertrag und ein als Admin betitelter Antwortgeber stellt den vermeintlichen Vertrag zum Download bereit. Wer die Datei herunterlädt und öffnet, initiiert die Infektion. Nach welcher Logik Gootkit oder REvil auf dem Computer landet, ist bislang ungeklärt.

Bei Gootkit handelt es sich um eine Fileless-Malware. Das heißt, der Trojaner ist "dateilos" und dadurch besonders schwer von Antiviren-Scannern zu erkennen. Damit der Schädling unbemerkt sein Schadenswerk verrichten kann, haben die Entwickler einen Weg gefunden, wie sie JavaScript-Code aus der Windows Registry ausführen können. Um Gootkit war es für rund ein Jahr lang sehr ruhig geworden.

Generell gilt: Klicken Sie nicht ohne Nachzudenken auf Links in E-Mails und öffnen Sie keine Dateianhänge, wenn der Ursprung unbekannt ist.

(des)