Cyberkriminelle verwenden die GootLoader-Technik, um Ransomware bereitzustellen

Angreifer verwenden Black Hat SEO, um Ransomware, Trojaner, zu pushen

Berichten zufolge verwenden Cyberkriminelle Black-Hat-SEO-Techniken, um Malware wie Trojaner, Ransomware oder andere Malware über den ‚GootLoader‘ zu verbreiten, der in ein komplexes und verstohlenes Framework eingebunden ist. Jetzt hat dieser Mechanismus solche Infektionen aus Hunderten von gehackten Regionen auf mehrere Regionen verteilt Server, die jederzeit aktiv sind.

Cyberkriminelle verwenden die Wiedergabe von Malware-Kampagnen auf dem GootLoader-Mechanismus und übertragen eine größere Auswahl an Trojanern, Ransomware oder anderer Malware über eine gehackte WordPress-Website sowie böswillige SEO-Techniken für Google-Ergebnisse.

Bedrohungsakteure gruppierten sich neu, indem sie ein riesiges Netzwerk von gehackten WordPress-Websites bildeten und SEO-Vergiftungen oder Black Hat SEO verwendeten, um in Google Forum-Posts gefälschtes Forum mit böswilligen Links anzuzeigen. Die gefälschten Message Boards werden nur den Besuchern der Website aus bestimmten Regionen angezeigt und präsentieren ihnen eine „Diskussion“, die die Antwort auf ihre Frage in dem Beitrag des „Website-Administrators“ enthält.

Laut dem Cyber-Sicherheitsunternehmen „Sophos“ kontrolliert „GootLoader“ etwa 400 Server, die zu jeder Zeit aktiv sind und gehackte und legitime Websites hosten. Außerdem haben Cyberkriminelle, die hinter dieser Technik stehen, das CMS (Content Management System) von gehackten Websites geändert, um Besuchern von bestimmten Standorten aus die gefälschten Message Boards anzuzeigen.

Einige gehackte Websites, die mit dem Gootloader-Framework verknüpft sind, liefern gefälschte Forenbeiträge, um eine Antwort auf eine sehr spezifische Suchanfrage im Zusammenhang mit Immobilientransaktionen zu geben. Diese gefälschten Forenbeiträge enthalten böswillige Hyperlinks, um Benutzer zu gehackten Domains umzuleiten, und verleiten Benutzer dazu, Gootloader-Nutzdaten wie Gootkit und REvil Ransomware zu installieren.

Wie bereits erwähnt, wird der GootLoader-Mechanismus von Angreifern verwendet, um Malware oder Viren über gehackte WordPress-Websites zu verbreiten und böswillige SEO-Techniken oder Black Hat SEO-Techniken für Google-Ergebnisse zu verwenden. Es wurde auch beobachtet, dass GootLoader das Toolkit „Kronas Trojan“ und „Cobalt Strike“ zur Emulation von Bedrohungen verbreitet.

Laut dem Cyber-Sicherheitsforscher „Sophos“ richtet sich diese Malware-Kampagne an Besucher aus den USA, Deutschland und Südkorea sowie aus Frankreich. Durch Klicken auf den Link, der mit gefälschten Foren- / Website-Posts verknüpft ist, werden Besucher zum ZIP-Archiv der JavaScript-Datei weitergeleitet, die die Infektion auslöst. Auf diese Weise wird die mithilfe von GootLoader-Techniken gelieferte Malware im Systemspeicher bereitgestellt, sodass herkömmliche Sicherheitssoftware sie nicht erkennen kann. Solche gefälschten Forenbeiträge mögen am Anfang legitim oder normal aussehen, werden aber gegen Ende zu einem unverständlichen Streifzug.

Die Gootloader-Malware-Kampagne liefert Malware-Nutzdaten in den Systemspeicher

 Wie bereits erwähnt, initiiert die JavaScript-Datei (Gootloader) die Infektion und verhindert, dass diese Infektion durch herkömmliche Antivirenlösungen erkannt wird. Diese Nutzdaten umfassen zwei Verschlüsselungsebenen für Zeichenfolgen und Datenblobs, die sich auf die nächste Angriffsstufe beziehen. In der zweiten Stufe dieser Nutzlast liefert der Gootloader C2-Server (Command and Control) eine Zeichenfolge numerischer Werte mit ASCII-Zeichen in den Systemspeicher. Beachten Sie, dass die gleiche Methode von „Malwarebytes“ beobachtet wurde, als die Sicherheitsforscher die Lieferung von „REvil Ransomware“ an deutsche Ziele unter Verwendung des Gootkit-Lieferrahmens analysierten.

Die JavaScript-Datei von Gootloader fungiert als anfängliche Nutzdaten. Der nächste Schritt dieser Malware-Kampagne ist ein Autorun-Eintrag, der für das Powershell-Skript erstellt wurde, damit er bei jedem Systemneustart geladen wird. Der Zweck dieser Nutzdaten besteht darin, den zuvor in den Systemregistrierungsschlüsseln geschriebenen Inhalt zu dekodieren. Es löst jedoch endgültige Nutzdaten in den Systemspeicher aus, die Gootkit, REvil, Kronas oder Cobalt Strike sein können.

Gootloader-Beispiele verwenden die Registrierung zum Speichern von „Two Payloads“.

Die erste Nutzlast ist eine kleine ausführbare C # -Datei, die für das Extrahieren einer zweiten ausführbaren Datei aus Daten verantwortlich ist, die in der Windows-Systemregistrierung gespeichert sind. Die zweite ausführbare Datei als endgültige Nutzdaten ist ein zwischengeschalteter dotNET-Injektor, der eine Delphi-basierte Malware mithilfe des Prozesses „Hollowing-Technik“ bereitstellt.

Der Cyber-Sicherheitsforscher „Sophos“ erklärte auch, dass die legitimen Anwendungen, einschließlich „ImagingDevices.exe“ – Systemkomponenten, die mit dem Windows-Betriebssystem verknüpft sind, und „Embarcadero External Translation Manager“ von Angreifern hinter der Gootloader-Malware-Kampagne für diesen Prozess verwendet werden.

Diese Delphi-Malware enthält eine verschlüsselte Kopie von REvil, Gootkit, Cobalt Strike oder Kronos und ist das letzte Glied in der Infektionskette. Die Forscher erklärten außerdem, dass Cyberkriminelle in dieser Malware-Kampagne verschiedene Varianten von Übermittlungsmethoden verwenden, darunter zusätzliche PowerShell-Skripte, Cobalt Strike-Module oder ausführbare Dateien für Code-Injector.

Weg, um diese Art von Malware-Kampagne zu verhindern

Die Forscher erklärten, dass eine Lösung, um das Ersetzen gehackter Seiten zu verhindern, darin besteht, Skriptblocker zu verwenden, mit denen Sie das System vor solchen schädlichen Skripten oder Nutzdaten schützen können. Hören Sie auch auf, auf verdächtige Links / Schaltflächen zu klicken, die von Malison oder gehackten Websites / Foren angeboten werden. Das ist alles. Für Vorschläge oder Fragen schreiben Sie bitte in das Kommentarfeld unten.