O malware conhecido como GootLoader continua sendo amplamente utilizado por agentes de ameaça que visam entregar payloads adicionais a hosts comprometidos.
"Atualizações no payload do GootLoader resultaram em várias versões do GootLoader, com o GootLoader 3 atualmente em uso ativo," a empresa de cibersegurança Cybereason disse em uma análise publicada na semana passada.
Embora alguns dos detalhes específicos dos payloads do GootLoader tenham mudado ao longo do tempo, as estratégias de infecção e a funcionalidade geral se mantêm semelhantes à ressurgência do malware em 2020.
GootLoader, um loader de malware parte do trojan bancário Gootkit, está associado a um agente de ameaça chamado Hive0127 (também conhecido como UNC2565).
Ele usa JavaScript para baixar ferramentas de pós-exploração e é distribuído através de táticas de envenenamento de Search Engine Optimization (SEO).
Ele tipicamente serve como um condutor para entregar vários payloads como Cobalt Strike, Gootkit, IcedID, Kronos, REvil e SystemBC.
Nos últimos meses, os agentes de ameaça por trás do GootLoader também lançaram sua própria ferramenta de comando e controle (C2) e movimento lateral denominada GootBot, indicando que o "grupo está expandindo seu mercado para alcançar uma audiência maior para seus ganhos financeiros." As cadeias de ataque envolvem comprometer websites para hospedar o payload de JavaScript do GootLoader, apresentando-o como documentos legais e acordos, que, quando iniciados, configuram a persistência usando uma tarefa agendada e executam JavaScript adicional para iniciar um script de PowerShell para coletar informações do sistema e aguardar instruções adicionais.
"Websites que hospedam esses arquivos de arquivo utilizam técnicas de envenenamento de Search Engine Optimization (SEO) para atrair vítimas que estão procurando por arquivos relacionados a negócios, como modelos de contrato ou documentos legais," os pesquisadores de segurança Ralph Villanueva, Kotaro Ogino e Gal Romano disseram.
Os ataques também são notáveis pelo uso de codificação do código fonte, ofuscação do fluxo de controle e inflação do tamanho do payload para resistir à análise e detecção.
Outra técnica envolve a incorporação do malware em arquivos de bibliotecas JavaScript legítimas, como jQuery, Lodash, Maplace.js e tui-chart.
"GootLoader recebeu várias atualizações durante seu ciclo de vida, incluindo mudanças nas funcionalidades de evasão e execução," os pesquisadores concluíram.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...