Experții în securitate anunță că au redescoperit troianul bancar denumit Gootkit, ce afectează mai multe bănci din Europa. După o vacanță de un an, troianul care fură informații a revenit la viață alături de REvil Ransomware într-o nouă campanie care vizează Germania dar și Italia.
Trojan Gootkit este un malware bazat pe Javascript care efectuează diverse activități rău intenționate, inclusiv acces la distanță pentru actorii importanți, preluarea controlului tastelor, înregistrarea video, furtul de e-mail, furtul de parole și capacitatea de a injecta scripturi rău intenționate pentru a fura acreditările bancare online.
În ultimii ani, troienii bancari au rămas una dintre principalele amenințări financiare pentru utilizatorii obișnuiți. Concepuți pentru a fura informațiile procesate în sistemele bancare, utilizarea acestora are ca rezultat pierderi financiare mari pentru clienții de servicii bancare online.
Gootkit este un astfel de program rău intenționat – un malware bancar complex, în mai multe etape, care a fost descoperit pentru prima dată în 2014. În urma campaniilor recente Gootkit, care vizează utilizatorii băncilor italiene și germane, cercetătorii Kaspersky au cercetat cel mai recent eșantion al acestui malware și i-au analizat caracteristicile.
Gootkit este distribuit prin campanii de spam și site-uri web compromise, prin care atacatorii acționează în așa fel încât vizitatorii să descarce malware. Odată ce un utilizator instalează malware-ul, acesta acordă atacatorului acces complet la dispozitivul infectat – ceea ce face ca Gootkit să fie nu numai un troian bancar, ci și un backdoor. Gootkit este capabil să obțină nu numai acces la distanță la dispozitiv în orice moment, ci este, de asemenea, capabil să fure date din browser, să efectueze atacuri man-in-the-browser, keylogging, să facă capturi de ecran și multe alte acțiuni rău intenționate. În esență, pe lângă scopul principal – furtul de bani – Gootkit poate fi utilizat și pentru activități de spionaj și colectare de date, lucru care nu este tipic altor troieni bancari.
În această nouă campanie rău intenționată, hackerii compromit site-urile WordPress și utilizează otrăvirea SEO pentru a afișa postări false pe forum vizitatorilor. Aceste postări pretind a fi o întrebare și răspunsuri cu un link către formulare sau descărcări false. Când utilizatorul face clic pe link, va descărca un fișier ZIP care conține un fișier JS ofuscat care va instala fie malware-ul Gootkit, fie ransomware-ul REvil.
„Gootkit este un exemplu foarte bun pentru modul în care dezvoltatorii de programe malware își dezvoltă instrumentele. Am văzut o răspândire de troieni bancari de ani de zile, dar cei mai mulți se concentrează în principal pe aceleași lucruri – extragerea datelor legate de finanțe. În cazul de față, atacatorii merg câțiva pași mai departe. Pe lângă crearea de programe malware multifuncționale, care le oferă cu siguranță flexibilitate și potențial pentru a-și adapta rapid obiectivele, investesc semnificativ în asigurarea faptului că nu sunt detectate.
Acesta este încă o dată un semn că trebuie să fii precaut cu privire la descărcarea oricărui lucru de pe web și să folosești o soluție de securitate fiabilă, care poate detecta astfel de amenințări, înainte să fie prea târziu”.
spune Anton Kuzmenko, cercetător în securitate la Kaspersky.
Hackerii din spatele acestei campanii utilizează un încărcător foarte inteligent care efectuează o serie de pași pentru a se sustrage detectării. Având în vedere că sarcina utilă este stocată în registru sub o cheie numită aleatoriu, multe produse de securitate nu o vor putea detecta și elimina.
Cu toate acestea, cea mai mare surpriză aici este să vezi că acest încărcător servește Ransomware REvil în unele cazuri. Pentru a vă proteja de amenințări precum Gootkit, experții în securitate vă recomandă să aveți instalată o soluție de securitate. Nu descărcați și nu instalați software dintr-o sursă în care nu aveți încredere completă. Totodată este indicat să nu vizitați site-uri web suspecte. Căutați site-uri care au certificate de securitate – adresa URL a acestora ar trebui să înceapă cu „https://” mai degrabă decât „http://” – „s” înseamnă „securizat” și ar trebui să existe și o pictogramă ce ilustrează un lacăt în bara de adrese. Evitați să deschideți un document atașat, să faceți clic pe un link sau să rulați un program trimis într-un e-mail de la un expeditor necunoscut.
