VIRENDEFINITION

Virentyp: Advanced Persistent Threat, Trojaner, Malware, APT, Geldautomat, Banking-Trojaner, Spear-Phishing, Cyberkriminalität

Was ist GCMAN?

Die Gruppe „GCMAN“ nutzt APT-Techniken und legitime Tools, die eigentlich für Penetrationstests bestimmt sind, um Computernetzwerke zu infizieren und sich zu bereichern. Hierfür überweist sie Gelder von Finanzinstituten zu digitalen Währungsservices. Ihre Malware wurde mithilfe des GCC-Compilers kompiliert – eine Seltenheit unter Malware-Entwicklern.

Was kann sie tun?

Die Erstinfektion erfolgt über Spear-Phishing. Ein Finanzinstitut erhält E-Mails mit einem schädlichen RAR-Archiv im Anhang. Wenn das Archiv geöffnet wird, wird anstelle eines Microsoft Word-Dokuments eine Programmdatei geöffnet, die das Gerät infiziert. Die Gruppe implementiert auch ein Cron-Skript, um Überweisungen in Höhe von 200 US-Dollar pro Minute auszuführen.

Wer sind die Opfer dieser Angriffe?

Bei den Opfern handelt es sich ausschließlich um Finanzinstitute.

Bin ich gefährdet?

Wenn Ihr Unternehmen der obigen Kategorie angehört, zählen Sie zur Risikogruppe. Installieren Sie fortschrittliche Anti-Malware-Lösungen, und beanspruchen Sie die Dienste eines zuverlässigen Sicherheitsunternehmens.

Wie erkenne ich, ob mein Computer infiziert ist?

Kaspersky-Produkte erkennen und blockieren die Malware der GCMAN-Gruppe erfolgreich mit folgenden Erkennungsnamen:

Backdoor.Win32.GCMan; Backdoor.Win64.GCMan; Trojan-Downloader.Win32.GCMan

Das Unternehmen hat darüber hinaus Gefährdungsindikatoren (Indicators of Compromise, IOC) und andere Daten veröffentlicht, um Unternehmen dabei zu unterstützen, in ihren Unternehmensnetzwerken nach Anzeichen für Angriffe der Gruppe zu suchen.

Wie kann ich mich schützen?

Die einzige Möglichkeit, einen Eindringungsversuch oder den erfolgreichen Zugang zum Netzwerk zu erkennen, ist die Analyse der Verhaltensmuster, um den Angreifer anhand seiner üblichen Aktivitäten im Unternehmensnetzwerk zu identifizieren.

Um auf Nummer sicher zu gehen, sollten Sie auch fortschrittliche Anti-Malware-Lösungen, wie z. B. Kaspersky Endpoint Security for Business, einsetzen. Schulen Sie darüber hinaus Ihr Sicherheitsbewusstsein, damit Sie Phishing-E-Mails erkennen, wenn sie in Ihrem Posteingang landen.

Um die Sicherheit noch weiter zu steigern, wird Unternehmen empfohlen, System Watcher zu verwenden – einen Aktivitätsmonitor, der das BSS-Modul (Behaviour Stream Signatures) zur Verhaltensanalyse enthält. Solche Aktivitätsmonitore sind in allen modernen Lösungen enthalten.

Aber natürlich reicht eine Fülle leistungsstarker Endpoint-Sicherheitsebenen nicht aus: Zum Schutz vor Spear-Phishing – einer der beliebtesten Methoden für die Erstinfektion – sind zuverlässige Lösungen für E-Mail-Sicherheit erforderlich. Kaspersky Security for Mail Server scannt eingehende E-Mails auf schädliche Anhänge und URLs und reduziert so deutlich die Wahrscheinlichkeit, dass Malware Ziele im Unternehmen erreicht.