Το GootLoader malware, ένα κακόβουλο λογισμικό που έχει χρησιμοποιηθεί σε αρκετές επιθέσεις τα τελευταία χρόνια, είναι ακόμα ενεργό και χρησιμοποιείται από κυβερνοεγκληματίες για την παράδοση κακόβουλων payloads σε παραβιασμένους υπολογιστές.
Όπως παρατήρησαν ερευνητές της Cybereason, το GootLoader payload έχει λάβει διάφορες ενημερώσεις, με αποτέλεσμα να έχουν δημιουργηθεί νέες εκδόσεις, συμπεριλαμβανομένης της GootLoader 3, η οποία εντοπίστηκε στις πρόσφατες επιθέσεις.
“Ενώ ορισμένα στοιχεία των GootLoader payloads έχουν αλλάξει με την πάροδο του χρόνου, οι στρατηγικές μόλυνσης και η συνολική λειτουργικότητα παραμένουν παρόμοια με την έκδοση του κακόβουλου λογισμικού το 2020“.
Δείτε επίσης: Αποφύγετε το malware κατά το stream του UEFA EURO 2024
Το GootLoader είναι ένα malware loader, μέρος του Gootkit banking trojan και συνδέεται με μια hacking ομάδα γνωστή ως Hive0127 ή UNC2565. Κάνει κατάχρηση JavaScript για τη λήψη post-exploitation tools και διανέμεται μέσω τακτικών search engine optimization (SEO) poisoning.
Χρησιμοποιείται, συχνά, για την παράδοση διαφόρων payloads, συμπεριλαμβανομένων των Cobalt Strike, Gootkit, IcedID, Kronos, REvil και SystemBC.
Τους τελευταίους μήνες, οι κυβερνοεγκληματίες πίσω από το GootLoader malware έχουν κυκλοφορήσει ένα δικό τους command-and-control (C2) και lateral movement εργαλείο, με το όνομα GootBot. Αυτή η κίνηση δείχνει ότι η ομάδα είναι ενεργή και μάλιστα επεκτείνει τα εργαλεία της για να κερδίσει ένα ευρύτερο κοινό και να αποκτήσει περισσότερα χρήματα.
Δείτε επίσης: Google Play: Κακόβουλη εφαρμογή QR reader διένειμε το banking malware Anatsa
Οι αλυσίδες επιθέσεων περιλαμβάνουν παραβιάσεις ιστοτόπων για τη φιλοξενία του GootLoader JavaScript payload. Το περνούν ως νομικά έγγραφα και συμφωνίες, αλλά όταν εκκινηθεί, εδραιώνει persistence χρησιμοποιώντας ένα scheduled task. Στη συνέχεια, εκτελεί πρόσθετο JavaScript για να ενεργοποιήσει ένα PowerShell script που θα συλλέξει πληροφορίες συστήματος και θα περιμένει για περαιτέρω οδηγίες.
“Οι ιστότοποι που φιλοξενούν αυτά τα archive files χρησιμοποιούν τεχνικές Search Engine Optimization (SEO) poisoning για να δελεάσουν θύματα που αναζητούν αρχεία που σχετίζονται με επιχειρήσεις, όπως πρότυπα συμβάσεων ή νομικά έγγραφα“, δήλωσαν οι ερευνητές ασφαλείας Ralph Villanueva, Kotaro Ogino και Gal Romano.
Δείτε επίσης: FakeBat Loader malware: Διαδίδεται μέσω επιθέσεων Drive-by
“Το GootLoader malware έχει λάβει αρκετές ενημερώσεις κατά τη διάρκεια του κύκλου ζωής του, συμπεριλαμβανομένων αλλαγών στις λειτουργίες αποφυγής και εκτέλεσης“, κατέληξαν οι ερευνητές.
Για την προστασία από το GootLoader και άλλα malware, είναι σημαντικό για τους οργανισμούς να εφαρμόζουν μέτρα ασφαλείας πολλαπλών επιπέδων. Αυτό περιλαμβάνει τακτικές ενημερώσεις λογισμικού, εκπαίδευση εργαζομένων σχετικά με τον εντοπισμό και την αποφυγή κακόβουλου περιεχομένου και την ύπαρξη ενός ισχυρού συστήματος δημιουργίας αντιγράφων ασφαλείας για τον μετριασμό των επιπτώσεων μιας επιτυχημένης επίθεσης. Επιπλέον, είναι σημαντικό για τους οργανισμούς να διαθέτουν ένα σχέδιο αντιμετώπισης περιστατικών σε περίπτωση επίθεσης.
Η νέα έκδοση, που χρησιμοποιείται στις πρόσφατες επιθέσεις, δείχνει ότι το GootLoader παραμένει μια σημαντική απειλή για οργανισμούς σε διάφορους κλάδους. Καθώς αυτό το κακόβουλο λογισμικό συνεχίζει να εξελίσσεται και να στοχεύει νέους τομείς, είναι σημαντικό για τους οργανισμούς να παραμείνουν σε επαγρύπνηση. Θυμηθείτε, η πρόληψη είναι πάντα καλύτερη από το να αντιμετωπίζετε τις συνέπειες μιας επιτυχημένης επίθεσης. Μείνετε ενημερωμένοι, μείνετε σε εγρήγορση και διατηρήστε ισχυρή την άμυνα του οργανισμού σας!
Πηγή: thehackernews.com
