Uma nova variante do malware GootLoader chamada GootBot foi encontrada para facilitar o movimento lateral em sistemas comprometidos e evitar a detecção.
"A introdução de seu próprio bot personalizado pelo grupo GootLoader nas últimas etapas de sua cadeia de ataque é uma tentativa de evitar detecções quando usam ferramentas prontas para uso como CobaltStrike ou RDP", disseram os pesquisadores da IBM X-Force, Golo Mühr e Ole Villadsen.
"Essa nova variante é um malware leve, mas eficaz, que permite aos invasores se espalhar rapidamente pela rede e implantar outros payloads".
GootLoader, como o nome indica, é um malware capaz de baixar malware de próxima etapa depois de atrair possíveis vítimas usando táticas de envenenamento de otimização de mecanismo de busca (SEO).
Está ligado a um ator de ameaças rastreado como Hive0127 (também conhecido como UNC2565).
O uso do GootBot aponta para uma mudança tática, com o implante baixado como um payload após uma infecção Gootloader em vez de frameworks de pós-exploração como o CobaltStrike.
Descrito como um script PowerShell ofuscado, o GootBot é projetado para se conectar a um site WordPress comprometido para comando e controle e receber mais comandos.
Complicando ainda mais o assunto é o uso de um servidor C2 codificado exclusivo para cada amostra GootBot depositada, tornando difícil bloquear o tráfego malicioso.
"As campanhas atualmente observadas exploram pesquisas envenenadas por SEO para temas como contratos, formulários legais ou outros documentos relacionados a negócios, direcionando vítimas para sites comprometidos projetados para parecer fóruns legítimos onde são induzidos a baixar o payload inicial como um arquivo de arquivo", disseram os pesquisadores.
O arquivo de arquivo incorpora um arquivo JavaScript ofuscado, que, ao ser executado, busca outro arquivo JavaScript que é acionado por meio de uma tarefa agendada para alcançar a persistência.
Na segunda etapa, o JavaScript é projetado para executar um script PowerShell para coletar informações do sistema e exfiltrá-lo para um servidor remoto, que, por sua vez, responde com um script PowerShell que é executado em um loop infinito e concede ao ator de ameaça distribuir vários payloads.
Isso inclui o GootBot, que se comunica com o servidor C2 a cada 60 segundos para buscar tarefas do PowerShell para execução e transmitir os resultados da execução de volta ao servidor na forma de solicitações POST HTTP.
Algumas das outras capacidades do GootBot variam de reconhecimento a realização de movimento lateral no ambiente, expandindo efetivamente a escala do ataque.
"A descoberta da variante Gootbot destaca os esforços que os invasores farão para evitar a detecção e operar em stealth", disseram os pesquisadores.
"Essa mudança em TTPs e ferramentas aumenta o risco de estágios bem-sucedidos de pós-exploração, como atividade afiliada ao ransomware ligido ao GootLoader".
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...