Gootkit RAT distribuie malware folosind instrumente SEO

Familia de malware Gootkit a fost timp de mai bine de cinci ani un troian cu funcționalitate axată pe furtul de credențiale bancare.

În ultimii ani s-au depus eforturi pentru îmbunătățirea modalităților de livrare și a variantei de malware bazat pe NodeJS.

Supranumit „Gootloader”, sistemul extins de livrare a malware-ului apare în urma creșterii numărului de infecții care vizează utilizatorii din Franța, Germania, Coreea de Sud și S.U.A.

Gootkit este un malware bazat pe JavaScript capabil să realizeze o serie de acțiuni precum diferite tipuri de atacuri web injection, keylogging, capturi de ecran, înregistrare video, precum și furtul de e-mail-uri și parole. De-a lungul timpului acesta a evoluat pentru a avea și funcționalități de furt de informații. Astfel, Gootloader a fost reproiectat în combinație cu ransomware precum REvil sau Sodinokibi.

Modalitatea de infectare presupune tehnici sofisticate care implică găzduirea unor arhive ZIP malițioase pe site-uri web aparținând unor companii legitime care au fost considerate a fi printre rezultatele de top în căutări utilizând metode de optimizare a motorului de căutare (SEO).

Mai mult decât atât, rezultatele motorului de căutare oferă site-uri web care nu au nicio conexiune „logică” cu interogarea de căutare, ceea ce implică faptul că atacatorii trebuie să dețină o rețea de site-uri web piratate. Într-un caz observat de cercetători, la căutarea unui sfat pentru un acord imobiliar a apărut ca prim rezultat o clinică medicale neonatală cu sediul în Canada.

Dacă accesează primul link al căutării utilizatorul ajunge la o pagină falsă, asemănătoare unui forum, care nu numai că se potrivește cu termenii de căutare utilizați în căutarea inițială, ci include și un link către arhiva ZIP, care conține un fișier Javascript obfuscat, care inițiază următoarea etapă de compromitere și anume injectarea unui malware.

Pe lângă livrarea ransomware-ului REvil și a troianului Gootkit au fost observate mai multe campanii care utilizează framework-ul Gootloader pentru a livra malware-ul Kronos în Germania și software-ul Cobalt Strike în SUA.

Încă nu este clar modul în care atacatorii obțin acces la site-urile web pentru a livra malware, dar cercetătorii suspectează că ar fi putut obține parolele de acces instalând Gootkit sau cumpărând credențialele de pe darkweb sau folosind defectele de securitate din pluginuri și CMS.

Sursa: https://thehackernews.com/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică