Nova Variante do Malware GootLoader Evita Detecção e se Espalha Rapidamente
8 de Novembro de 2023

Uma nova variante do malware GootLoader chamada GootBot foi encontrada para facilitar o movimento lateral em sistemas comprometidos e evitar a detecção.

"A introdução de seu próprio bot personalizado pelo grupo GootLoader nas últimas etapas de sua cadeia de ataque é uma tentativa de evitar detecções quando usam ferramentas prontas para uso como CobaltStrike ou RDP", disseram os pesquisadores da IBM X-Force, Golo Mühr e Ole Villadsen.

"Essa nova variante é um malware leve, mas eficaz, que permite aos invasores se espalhar rapidamente pela rede e implantar outros payloads".

GootLoader, como o nome indica, é um malware capaz de baixar malware de próxima etapa depois de atrair possíveis vítimas usando táticas de envenenamento de otimização de mecanismo de busca (SEO).

Está ligado a um ator de ameaças rastreado como Hive0127 (também conhecido como UNC2565).

O uso do GootBot aponta para uma mudança tática, com o implante baixado como um payload após uma infecção Gootloader em vez de frameworks de pós-exploração como o CobaltStrike.

Descrito como um script PowerShell ofuscado, o GootBot é projetado para se conectar a um site WordPress comprometido para comando e controle e receber mais comandos.

Complicando ainda mais o assunto é o uso de um servidor C2 codificado exclusivo para cada amostra GootBot depositada, tornando difícil bloquear o tráfego malicioso.

"As campanhas atualmente observadas exploram pesquisas envenenadas por SEO para temas como contratos, formulários legais ou outros documentos relacionados a negócios, direcionando vítimas para sites comprometidos projetados para parecer fóruns legítimos onde são induzidos a baixar o payload inicial como um arquivo de arquivo", disseram os pesquisadores.

O arquivo de arquivo incorpora um arquivo JavaScript ofuscado, que, ao ser executado, busca outro arquivo JavaScript que é acionado por meio de uma tarefa agendada para alcançar a persistência.

Na segunda etapa, o JavaScript é projetado para executar um script PowerShell para coletar informações do sistema e exfiltrá-lo para um servidor remoto, que, por sua vez, responde com um script PowerShell que é executado em um loop infinito e concede ao ator de ameaça distribuir vários payloads.

Isso inclui o GootBot, que se comunica com o servidor C2 a cada 60 segundos para buscar tarefas do PowerShell para execução e transmitir os resultados da execução de volta ao servidor na forma de solicitações POST HTTP.

Algumas das outras capacidades do GootBot variam de reconhecimento a realização de movimento lateral no ambiente, expandindo efetivamente a escala do ataque.

"A descoberta da variante Gootbot destaca os esforços que os invasores farão para evitar a detecção e operar em stealth", disseram os pesquisadores.

"Essa mudança em TTPs e ferramentas aumenta o risco de estágios bem-sucedidos de pós-exploração, como atividade afiliada ao ransomware ligido ao GootLoader".

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...