In acht nehmen! Signierte E-Mails werden verwendet, um den GootKit Banking-Trojaner zuzustellen

Für die Bereitstellung des GootKit Banking-Trojaners werden mehrstufige Malware-Ladeprogramme verwendet

„Spam-E-Mail-Kampagne“ ist ein bekannter Begriff, den jeder vorher anhören kann. Hierbei handelt es sich um eine Phishing-Kampagne, bei der schädliche Viren auf einem angegriffenen Computer verteilt werden. Wie Sie wissen, werden in der Kampagne Spam-E-Mails im Internet verschickt, die eine Vielzahl von Malware in einer Anhangsdatei enthalten. Durch Klicken auf den Anhang wird die zugehörige Malware durch die Payload aktiviert und im System installiert.

Diese Art des Eindringens von Malware wurde vom GootKit Banking Trojaner beobachtet, der unter seinen Namen ausschließlich dazu bestimmt und ausgeliefert wird, Bankberechtigungsnachweise vom kompromittierten Computer der Benutzer zu stehlen. Das GootKit-Virus, bekannt unter den beiden anderen Namen talepek oder XswKit, wurde gefunden, um mittels signierter E-Mail-Dienste wie Posta Electtronica (PEC) in Italien, der Schweiz und Hongkong verbreitet zu werden, so dass die Betrüger die Empfänger davon überzeugen können, weiter zu glauben den Inhalt darauf und öffnen Sie die darin bereitgestellten schädlichen Anhänge.

Es wird ein mehrstufiger Malware-Loader verwendet

GootKit wird in den letzten Jahren mit mehrstufigem Malware-Loader namens JasperLoader vertrieben. Der Malware-Loader dient dazu, verschiedene Malware-Payloads auf den Computern der Empfänger einfach abzulegen.

JasperLoader ist der dritte Lader, der kürzlich vom Cisco Talos-Forschungsteam beobachtet wurde. Die anderen beiden sind Smoke Loader und Brushloader. Der erste war damit beschäftigt, die Ransomware-Nutzlast zu senken, während der spätere die Verwendung von Living-of-the-Land-Tools (LotL) wie Powershell-Skripts einsetzte, um nicht entdeckt zu werden.