Der unsichtbare Feind

Internetverbindungsprobleme, unerklärbare Einbrüche der Performance, oder der E-Mail-Server befindet sich auf einer Blacklist – seit dem vierten Quartal 2020 häufen sich Fälle, in denen deutsche Nutzer von Windows-Computern über unspezifische Auffälligkeiten berichten. Gootkit, ein altbekannter Banking-Trojaner, ist zurück und hat es insbesondere auf deutsche Anwender abgesehen.

In den meisten Fällen bemerken die Opfer nicht, dass ihre Rechner kompromittiert wurden, bis sie im besten Fall eine Meldung über ihren Internet Service Provider erhalten, dass eines ihrer Geräte mit einem Botnetz kommuniziert. Die danach durch den Nutzer erfolgten Überprüfungen mittels Antivirenprogrammen zeigen überwiegend keine Infektion, sodass die Ratlosigkeit groß ist.

Bei Gootkit handelt es sich um einen seit 2014 bekannten Banking-Trojaner. Dieser verfügt über zahlreiche bösartige Funktionen, um Informationen von den Rechnern seiner Opfer zu stehlen. Hierzu gehört eine Keylogger-Funktionalität wie auch die Fähigkeit der Videoaufzeichnung des Bildschirms oder auch der Remote Access für die Angreifer.

In einigen Fällen wurden zusätzlich ungewollte Weiterleitungsregelungen in E-Mail-Postfächern eingerichtet, um diese zum Beispiel für nachfolgende Phishingkampagnen abfließen zu lassen. Nach einer einjährigen Pause ist dieser Trojaner mit einer neuen Tarnung zurück.

Die Weiterentwicklung dieses Trojaners erlaubt nach Erlangen der Persistenz eine dateilose Existenz auf dem Rechner seines Opfers. Er liegt somit nicht als eine selbstständige Datei auf der Festplatte vor, sondern agiert lediglich im Arbeitsspeicher. Damit er auch einen Neustart des Computers übersteht, liegt sein obfuskierter Code in variierenden Schlüsseln der Windows-Registrierungsdatenbank. So gelingt es dem Trojaner, sich vor einigen Intrusion-Preven­tion-Lösungen und Antivirenprogrammen erfolgreich zu verstecken.

In der aktuellen Bedrohungswelle missbrauchen Kriminelle fremde Webserver mit Sicherheitslücken, um potenziellen Besuchern mittels SEO Poisoning gefälschte, speziell auf deren Anliegen zugeschnittene Forenbeiträge anzuzeigen. Dies hat zur Folge, dass bei einer Internetsuche, insbesondere nach Vorlagen und Mustern, das Opfer auf einen dynamisch erstellten, hilfreich klingenden Forumsbeitrag trifft, in welchem sich eine Datei mit der passenden Vorlage zum Download befindet. Hierbei kann man bemerken, dass diese Datei die Suchbegriffe des Opfers im Dateinamen trägt, um attraktiv und unverdächtig zu klingen.

Aktiv mitdenken

Wird diese Datei heruntergeladen und anschließend ausgeführt, nimmt die Infektion ihren Lauf. Das in der Datei enthaltene JavaScript-Programm stellt unbemerkt eine Verbindung zu seinem Command-&-Control-Server her und lädt ein weiteres Skript herunter, das die eigentliche Schadsoftware beinhaltet. In den meisten Fällen handelt es sich um die dateilose Variante des Trojaners Gootkit.

In einigen Fällen wurde jedoch eine Verteilung einer ebenfalls dateilosen Variante der Ransomware REvil beobachtet. REvil, auch als Sodinokibi bekannt, wird als Ransomware as a Service (RaaS) distribuiert und gehört zu den Verschlüsselungstrojanern mit zusätzlicher Erpressung durch Datenabfluss und -veröffentlichung.

Wurde ein Rechner mit einer solchen dateilosen Schadsoftware infiziert, sollte umgehend professionelle Hilfe in Anspruch genommen werden, um das Ausmaß des Schadens und die Auswirkungen der Schadsoftware einschätzen zu können. Nur so können anschließend die richtigen Maßnahmen zur Bereinigung durchgeführt werden.

Um es nicht erst zu einer Infektion kommen zu lassen, muss der Anwender aktiv mitdenken. Können die Herkunft und die Plausibilität eines E-Mail-Anhangs oder des Downloads zweifelsfrei festgestellt werden? Ist man sich nicht sicher, so gilt generell: Mauszeiger weg von der Datei!