Banking-Trojaner Gootkit breitet sich aus

Im Herbst haben wir es mit Infektionen zu tun. Nachdem es um den Trojaner Gootkit ein Jahr lang recht ruhig war, ist er nun zurück und infiziert täglich wohl rund 20.000 deutsche Rechner (siehe: Beitrag im IT Finanzmagazin).

Funktionsweise Banking-Trojaner Gootkit

Die Hacker leiten die Infektion zum Teil über gefakte eMails, aber auch über Websites ein. So gibt es z.B. ein gefaktes Forum, in dem jemand scheinbar nach Informationen über Zuwendungen bei Jubiläen sucht. In einem Antwortpost wird ein Link zu einem Dokument gepostet, das Teil des Tarifvetrages der IG Metall NRW sein soll. Herunter lädt man dann aber eine ZIP-Datei. Öffnet man diese, stößt man die Infektion an.

Der Trojaner

  • erfasst Tastaturanschläge (um so an Zugangsdaten zu Konten und ähnliches zu gelangen)
  • zeichnet Videos auf
  • stiehlt eMails und Kennwörter
  • bietet den Hackern Remote-Zugriff auf den Rechner

Schadsoftware REvil

In manchen Fällen wird statt des Banking-Trojaners Gootkit die Ransomware REvil (Sodinokibi) geladen. Dabei handelt es sich um eine Schadsoftware, die von den Betroffenen ein Lösegeld fordert und in mehreren Schritten und ohne eigene Dateien auf dem Rechner abzulegen, ausgeführt wird. Durch diese Vorgehensweise ist sie schwer von ggf. installierter Sicherheitssoftware zu erkennen.

Der Sicherheitssoftwareanbieter Malwarebytes hat sich sehr mit diesen Trojanern befasst und bietet umfangreichen Schutz auf verschiedenen Ebenen. Hier gibt es zum Thema einen Blogbeitrag von Malwarebytes auf Englisch: German users targeted with Gootkit banker or REvil ransomware.

Prinzipiell gilt:

  • Öffnen Sie nie Anhänge und klicken Sie nie auf Links in Mails, von denen Sie den Absender nicht kennen. (Hier gibt es einen guten Beitrag der Verbraucherzentrale darüber, wie Sie Phishingmails erkennen können: Merkmale einer Phishing-Mail)
  • Geben Sie nie irgendwelche privaten Daten an, nur weil Sie in einer eMail dazu aufgefordert werden. Notfalls fragen Sie bei Ihrer Bank oder dem Zahlungsanbieter per Telefon nach oder schauen Sie direkt in Ihren Account.
  • Werden Sie hellhörig, wenn Sie ein Dokument bekommen sollen (z.B. ein PDF) und stattdessen eine ZIP-Datei bekommen!

Nach einer Infektion ändern Sie die Passwörter an einem Rechner, von dem sie sicher wissen, dass er nicht infiziert ist.

Mögen Sie und Ihr Rechner gesund bleiben!

© 2024 ARBION IT-Services | Wir sind Ihre IT-Abteilung im Norden.