Gootloader sfrutta i siti Web per diffondere ransomware e trojan
Buongiorno cari lettori, oggi parleremo di Gootloader .
I ricercatori hanno avvertito che le campagne di Gootloader generalmente si rivolgono agli utenti di Stati Uniti, Germania, Francia e Corea del Sud.
La comunità dei criminali informatici è diventata piuttosto sofisticata nelle sue tattiche di attacco per indurre Google a visualizzare risultati di ricerca dannosi ed esporre milioni di utenti in tutto il mondo al rischio di infezione da malware.
Negli ultimi tempi, Gootloader è tornato con funzionalità aggiuntive e sfrutta i siti Web tramite Search Engine Optimization (SEO) per diffondere pericolosi trojan bancari come Kronos .
Gootloader che espande il meccanismo di consegna del carico utile
Gootloader è un caricatore di malware che in precedenza distribuiva il malware Gootkit . Tuttavia, l'ultima ricerca della società di sicurezza informatica Sophos rivela che Gootloader si è evoluto in un sofisticato framework di caricamento e ha ampliato la sua distribuzione del payload oltre la famiglia di malware Gootkit.
I ricercatori ritengono che il caricatore abbia subito una rinascita per quanto riguarda la consegna del payload poiché ora includeva il trojan Kronos e il malware Cobalt Strike , e forse il ransomware REvil .
Sophos afferma che le campagne Gootloader si rivolgono generalmente agli utenti di Stati Uniti, Germania, Francia e Corea del Sud.
Cos'è Gootloader?
È uno strumento malware basato su Javascript o un framework che in precedenza forniva la famiglia di malware Gootkit, in particolare il trojan di accesso remoto Gootkit. Questa famiglia di malware è stata scoperta circa 5 anni fa e ora si è evoluta in sofisticati trojan che mirano a rubare le credenziali bancarie.
Il suo metodo di consegna è notevolmente migliorato poiché è entrato nel malware basato su NodeJS.
Come utilizza Google SEO Poisoning
Gootloader può ora guadagnare trazione utilizzando l'avvelenamento SEO di Google e avvia un processo di attacco in più fasi. I ricercatori affermano che il caricatore di malware utilizza l'avvelenamento SEO per la consegna di malware.
L'avvelenamento da SEO è una vecchia tattica in cui il caricatore sfrutta parole chiave / termini SEO-friendly nei siti Web controllati dall'aggressore. Ciò consente ai siti Web di posizionarsi più in alto nell'indice di ricerca di Google e gli utenti ignari vengono attirati verso questi siti Web compromessi. I siti di solito contengono collegamenti che avviano immediatamente la catena di attacchi Gootloader.
Gootloader sfrutta i siti Web tramite SEO per diffondere ransomware e trojan
Uno dei siti Web compromessi utilizzato nel malware Gootloader fornito (Immagine: Sophos)
Malware Gootloader che utilizza siti Web compromessi
Per eseguire l'avvelenamento SEO, gli aggressori di Gootloader hanno compromesso una vasta gamma di siti Web legittimi , che mantengono su una rete di 400 server.
Non è chiaro come gli aggressori ottengano l'accesso al back-end dei siti Web, ma tradizionalmente questo tipo di compromesso deriva da molti metodi diversi.
"Gli aggressori possono semplicemente ottenere le password dei siti dal malware Gootkit stesso, o da uno qualsiasi dei numerosi mercati criminali che scambiano credenziali rubate, o sfruttando uno qualsiasi dei numerosi exploit di sicurezza nei plug-in o nei componenti aggiuntivi del Software CMS ", hanno affermato i ricercatori in un post sul blog .
Distribuzione di malware senza file
Oltre a utilizzare l'avvelenamento SEO, un'altra tattica che distingue Gootloader è che esegue la consegna di malware senza file . Nella distribuzione di malware senza file, vengono utilizzati processi legittimi e affidabili come PowerShell per eludere i prodotti antivirus e garantire la distribuzione ininterrotta di malware.
Gootloader sfrutta i siti Web tramite SEO per diffondere ransomware e trojan
Sito Web compromesso con post falsi, profili falsi che pubblicano collegamenti che trasportano malware Gootloader. (Immagine: Sophos)
Da asporto finale
Esistono diversi motori di ricerca, tuttavia, se preferisci utilizzare Google, non fidarti di ogni risultato senza prendere precauzioni di sicurezza. Assicurati di avere un software anti-malware aggiornato installato sul tuo sistema e prendi l'abitudine di scansionare file o collegamenti prima di aprirli.
