GoBotKR
GoBotKR

GoBotKR: Malware-Kampagne mit Kinofilmen via P2P

Fans des koreanischen Fernsehens sollten aufpassen vor der Malware GoBotKR, die sich derzeit massiv über Torrent-Websites verbreitet.

Fans des koreanischen Fernsehens sollten aufpassen vor der Malware GoBotKR, die sich über Torrent-Websites verbreitet. Ferner ermöglicht sie dem Angreifer, den betroffenen Computer mit einem Botnetz zu verbinden und aus der Ferne zu steuern.

ESET-Forscher haben in südkoreanischen und chinesischen Torrent-Downloads den GoBotKR entdeckt. Die Malware ist eine leicht veränderte Version der Backdoor namens GoBot2. Laut ESET-Telemetrie ist GoBotKR seit März 2018 aktiv. Südkorea ist davon am stärksten betroffen  (80%), gefolgt von China (10%) und Taiwan (5%).

Wie verbreitet sich GoBotKR?

Die Malware wird durch den Benutzer ausgeführt und lädt dann einen Payload nach. Ebenfalls zeigen Analysen, dass die Film- bzw. TV-Serien-Downloads im Allgemeinen die folgenden Dateiarten sind:

1. MP4

2. Eine PMA-Archivdatei, die verschiedene Codec-Installationen faked.

3. Eine LNK-Datei mit einem Videothumbnail als Icon.

Anschließend können die Angreifer dank GoBotKR über einen Server den Computer für DDoS-Attacken missbrauchen.

Auf jeden Fall solltet ihr wegen GoBotKR folgende Torrentseiten vermeiden:

  • bitgamego.com
  • helloking.site
  • higamebit.com
  • jtbcsupport.site
  • kingdomain.site

Falls ihr nochmal ganz sicher gehen wollt, hier die folgenden Datei-Hashes.

Eigene Bot-Befehle

Besteht erst einmal eine Verbindung zum C&C-Server, versorgt dieser die kompromittierte Maschine mit Backdoor-Befehlen. GoBotKR unterstützt standardmäßige Botnet-Funktionen, die hauptsächlich drei Zwecken dienen. Nämlich der missbräuchlichen Verwendung des kompromittierten Computers, der Steuerung und Ausbau des Botnets und last, but not least dem Aufrechterhalten der Tarnung und Verstecken vor dem User des übernommenen Computers.

Beitragsbild 200 Degrees auf Pixabay

Tarnkappe.info