Los ciberdelincuentes utilizan la técnica de GootLoader para distribuir ransomware

Los atacantes utilizan Black Hat SEO para impulsar ransomware y troyanos

Según el informe, los ciberdelincuentes utilizan técnicas de SEO de sombrero negro para difundir malware como troyano, ransomware u otro malware a través del ‘GootLoader’, involucrado en un marco complejo y sigiloso, y ahora este mecanismo ha estado distribuyendo tales infecciones en las múltiples regiones de cientos de pirateados. servidores que están activos en todo momento.

Los ciberdelincuentes utilizan campañas de malware que se reproducen en el mecanismo de GootLoader e impulsan una variedad más amplia de troyanos, ransomware u otro malware a través del sitio web pirateado de WordPress y técnicas de SEO maliciosas para los resultados de Google.

Los actores de amenazas se reagruparon formando una vasta red de sitios web de WordPress pirateados y utilizando envenenamiento de SEO o Black Hat SEO para mostrar en los foros de Google las publicaciones de foros falsos con enlaces maliciosos. Los tableros de mensajes falsos aparecen solo para los visitantes del sitio de ubicaciones geográficas específicas y les presentan una «Discusión» que contiene la respuesta a su temblor en la publicación del «administrador del sitio web».

Según la empresa de seguridad cibernética «Sophos», «GootLoader’s controla alrededor de 400 servidores activos en cualquier momento que alojan sitios web pirateados y legítimos. Además, los ciberdelincuentes detrás de esta técnica modificaron el CMS (Sistema de gestión de contenido) de los sitios web pirateados para mostrar los tableros de mensajes falsos a los visitantes de ubicaciones específicas.

Algunos sitios web pirateados asociados con el marco de Gootloader ofrecen publicaciones falsas en el foro para proporcionar una respuesta a una consulta de búsqueda muy específica relacionada con transacciones inmobiliarias. Estas publicaciones falsas en el foro contienen hipervínculos maliciosos para redirigir a los usuarios al dominio pirateado y engañar a los usuarios para que instalen cargas útiles de Gootloader, incluidos Gootkit y REvil Ransomware.

Como se mencionó, los atacantes utilizan el mecanismo GootLoader para difundir malware o virus a través de sitios web de WordPress pirateados y utilizando técnicas de SEO maliciosas o técnicas de Black Hat SEO para los resultados de Google. También se ha observado que GootLoader propaga el kit de herramientas de emulación de amenazas «Kronas Trojan» y Cobalt Strike.

Según el investigador de seguridad cibernética «Sophos», esta campaña de malware está dirigida a visitantes de Estados Unidos, Alemania, Corea del Sur y Francia. Al hacer clic en el enlace asociado con publicaciones falsas en foros / sitios, los visitantes se redirigen al archivo ZIP del archivo JavaScript que inicia la infección. De esta manera, el malware entregado mediante las técnicas de GootLoader se implementa en la memoria del sistema para que el software de seguridad tradicional no pueda detectarlo. Tales publicaciones falsas en el foro pueden parecer legítimas o normales al principio, pero se convierten en un paseo ininteligible hacia el final.

La campaña de malware Gootloader entrega cargas útiles de malware en la memoria del sistema

 Como se mencionó, el archivo de carga útil inicial «JavaScript» de Gootloader inicia la infección y evita la detección de esta infección por las soluciones antivirus tradicionales. Estas cargas útiles incluyen dos capas de cifrado para cadenas y blobs de datos que relacionan la siguiente etapa del ataque. La segunda etapa de esta carga útil cuando termina, el servidor Gootloader C2 (comando y control) entrega una cadena de valores numéricos con caracteres ASCII en la memoria del sistema. Tenga en cuenta que «Malwarebytes» observó el mismo método cuando los investigadores de seguridad analizaron la entrega de «REvil Ransomware» a objetivos alemanes utilizando el marco de entrega de Gootkit.

El archivo JavaScript de Gootloader actúa como cargas útiles iniciales y el siguiente paso de esta campaña de malware es una entrada de ejecución automática creada para el script «Powershell» para que se cargue en cada reinicio del sistema. El propósito de esta carga útil es decodificar el contenido escrito anteriormente en las claves de registro del sistema. Sin embargo, activa cargas útiles finales en la memoria del sistema, que pueden ser Gootkit, REvil, Kronas o Cobalt Strike.

Las muestras de Gootloader utilizan el registro para almacenar «Dos cargas útiles»

La primera carga útil es un pequeño ejecutable «C #» que se encarga de extraer un segundo ejecutable de los datos almacenados en el registro del sistema de Windows. El segundo ejecutable como payloads finales es un inyector dotNET intermedio que despliega un malware basado en Delphi usando el proceso «Técnica Hollowing».

El investigador de seguridad cibernética «Sophos» también explicó que las aplicaciones legítimas, incluidas «ImagingDevices.exe», componentes del sistema asociados con el sistema operativo Windows y «Embarcadero External Translation Manager», son utilizadas por los atacantes detrás de la campaña de malware Gootloader para este proceso.

Este Delphi Malware incluye una copia encriptada de REvil, Gootkit, Cobalt Strike o Kronos, y es el último eslabón de la cadena de infección. Los investigadores también explicaron que los ciberdelincuentes usan múltiples variaciones de métodos de entrega, incluidos scripts de PowerShell adicionales, módulos Cobalt Strike o ejecutables de inyector de código en esta campaña de malware.

Manera de prevenir este tipo de campaña de malware

Los investigadores explicaron que una solución para evitar el reemplazo de la página pirateada es usar bloqueadores de scripts que podrían ayudarlo a evitar que el sistema tenga dichos scripts o cargas útiles. Además, deje de hacer clic en los enlaces / botones sospechosos ofrecidos por malison o sitios web / foros pirateados. Eso es todo. Para cualquier sugerencia o consulta, escriba en el cuadro de comentarios a continuación.