02.12.2020 Warnung vor Schadsoftware 'Gootkit'

Der Trojaner lässt sich nur schwer mit Antiviren-Programmen erkennen. Einfallstore sind betrügerische E-Mails oder präparierte Webseiten.

Die Angreifer*innen möchten Sie dazu bringen, eine schadhafte Datei (beispielsweise eine *.zip-Datei) von einer Webseite herunterzuladen und anschließend zu öffnen.

Ein Link zu dieser Datei kann sich beispielsweise in einer E-Mail befinden, die Ihnen auf den ersten Blick legitim erscheint.

Außerdem haben die Angreifer*innen ihre kompromittierten Webseiten für die Internetsuche optimiert. Die schadhaften Seiten enthalten beispielsweise authentisch aussehende Informationen zu einem Tarifvertrag der Metall- und Elektroindustrie. Auf einem Forum wird etwa ein angeblich passender Vertrag bereitgestellt, der die Schadsoftware enthält.

Beim Herunterladen und Öffnen startet die Infektion des Rechners. Entweder wird ein Verschlüsselungstrojaner oder ein Trojaner zum Auslesen von sensiblen Informationen (z. B. Passwörter) installiert. Die Schadsoftware ist besonders schwer zu erkennen, weil sie keine eigenen Daten hinterlässt. Vielmehr wird JavaScript-Code aus der Windows Registry ausgeführt.

Wie können Sie sich schützen?

  • Denken Sie nach, bevor Sie einen Link in einer E-Mail anklicken. Kommt er Ihnen komisch vor? Dann klicken Sie ihn nicht an und melden die E-Mail im Webmailer durch einen Rechtsklick als Spam.
  • Öffnen Sie keine angehängten Dateien.
  • Prüfen Sie die URL auf die Sie eine Suchmaschine leitet. Ist Sie unplausibel? Dann laden Sie nichts herunter und verlassen Sie die Seite.
  • Kontaktieren Sie die Stabsstelle Informationssicherheit, wenn Sie vermuten, dass Ihr Rechner infiziert wurde.

Weitere Informationen finden Sie unter: https://www.heise.de/news/Banking-Malware-Gootkit-ist-zurueck-und-hat-es-auf-PCs-in-Deutschland-abgesehen-4976043.html

Machine-translated english version

Beware of malware 'gootkit'

The Trojan is difficult to detect with anti-virus programs. It is deployed over fraudulent e-mails or prepared websites.

The attackers want to trick you into downloading a malicious file (e.g. a * .zip file) from a website and then opening it.

A link to this file can, for example, be in an e-mail that appears legitimate at first glance.

In addition, the attackers optimized their compromised websites for Internet searches. The defective pages contain, for example, authentic-looking information on a collective agreement for the metal and electrical industry. In a forum, for example, an allegedly suitable contract is made available that contains the malware.

The computer starts to be infected when the malware is downloaded and opened. Either an encryption Trojan or a banking Trojan is installed to read out sensitive information (e.g. passwords). The malware is particularly difficult to detect because it does not store any data on your hard drive. Rather, JavaScript code is executed from the Windows registry.

How can you protect yourself?

  • Think before you click a link in an email. Does he seem strange to you? Then do not click on it and report the e-mail in the webmailer as spam with a right click.
  • Do not open any attached files.
  • Check the URL to which a search engine directs you. Is it implausible? Then don't download anything and leave the page.
  • Contact the Information Security Office if you suspect that your computer has been infected.

You can find more information at: https://www.heise.de/news/Banking-Malware-Gootkit-ist-zurueck-und-hat-es-auf-PCs-in-Deutschland-absehen-4976043.html (German only)

Kontakt