Les cybercriminels utilisent la technique de GootLoader pour fournir des ransomwares

Les attaquants utilisent Black Hat SEO pour pousser les ransomwares et les chevaux de Troie

Selon le rapport, les cybercriminels utilisent des techniques de référencement black hat pour propager des logiciels malveillants comme des chevaux de Troie, des ransomwares ou d’autres logiciels malveillants via le «  GootLoader  » – impliqué dans un cadre complexe et furtif, et maintenant ce mécanisme distribue de telles infections dans les multiples régions à partir de centaines de piratages serveurs actifs à tout moment.

Les cybercriminels utilisent la relecture de campagnes de logiciels malveillants sur le mécanisme de GootLoader et diffusent une plus grande variété de chevaux de Troie, de ransomwares ou d’autres logiciels malveillants via un site Web WordPress piraté et des techniques de référencement malveillantes pour Google Results.

Les acteurs de la menace se sont regroupés en formant un vaste réseau de sites Web WordPress piratés et en utilisant l’empoisonnement SEO ou Black Hat SEO pour afficher dans les messages du forum Google de faux forum avec des liens malveillants. Les faux babillards électroniques n’apparaissent qu’aux visiteurs du site provenant de zones géographiques spécifiques et leur présentent une « discussion » contenant la réponse à leur réticence dans le message de « l’administrateur du site Web ».

Selon la société de cybersécurité «Sophos», «GootLoader contrôle environ 400 serveurs actifs à tout moment qui hébergent des sites Web piratés et légitimes. De plus, les cybercriminels à l’origine de cette technique ont modifié le CMS (Content Management System) des sites Web piratés pour montrer les faux panneaux de messages aux visiteurs provenant d’emplacements spécifiques.

Certains sites Web piratés associés au framework Gootloader fournissent de faux messages de forum pour fournir une réponse à une requête de recherche très spécifique liée aux transactions immobilières. Ces faux messages de forum contiennent des hyperliens malveillants pour rediriger les utilisateurs vers un domaine piraté et inciter les utilisateurs à installer des charges utiles Gootloader, y compris Gootkit et REvil Ransomware.

Comme mentionné, le mécanisme GootLoader est utilisé par les attaquants pour propager des logiciels malveillants ou des virus via des sites Web WordPress piratés et en utilisant une technique de référencement malveillant ou des techniques de référencement Black Hat pour les résultats de Google. On a également observé que GootLoader répandait la boîte à outils d’émulation des menaces «Kronas Trojan» et Cobalt Strike.

Selon le chercheur en cybersécurité «Sophos», cette campagne contre les logiciels malveillants cible les visiteurs des États-Unis, d’Allemagne et de Corée du Sud ainsi que de France. Cliquer sur le lien associé à de faux messages de forum / sites redirige les visiteurs vers l’archive ZIP du fichier JavaScript qui initie l’infection. De cette façon, le logiciel malveillant fourni à l’aide des techniques GootLoader est déployé dans la mémoire système afin que les logiciels de sécurité traditionnels ne puissent pas le détecter. De tels faux messages sur le forum peuvent sembler légitimes ou normaux au début, mais se transforment en une divagation inintelligible vers la fin.

La campagne de logiciels malveillants Gootloader fournit des charges utiles de logiciels malveillants dans la mémoire système

 Comme mentionné, le fichier «JavaScript» des charges utiles initiales de Gootloader initie l’infection et évite la détection de cette infection par les solutions antivirus traditionnelles. Ces charges utiles incluent deux couches de chiffrement pour les chaînes et les blobs de données qui relient l’étape suivante de l’attaque. La deuxième étape de cette charge utile une fois terminée, le serveur Gootloader C2 (Command and Control) délivre une chaîne de valeurs numériques avec des caractères ASCII dans la mémoire système. Notez que la même méthode a été observée par «Malwarebytes» lorsque les chercheurs en sécurité ont analysé la livraison de «REvil Ransomware» à des cibles allemandes en utilisant le cadre de livraison de Gootkit.

Le fichier JavaScript de Gootloader sert de charge utile initiale et l’étape suivante de cette campagne contre les logiciels malveillants est une entrée d’exécution automatique créée pour le script «Powershell» afin qu’il se charge à chaque redémarrage du système. Le but de cette charge utile est de décoder le contenu écrit précédemment dans les clés de registre système. Cependant, il déclenche les charges utiles finales dans la mémoire système qui peuvent être Gootkit, REvil, Kronas ou Cobalt Strike.

Les exemples Gootloader utilisent le registre pour stocker «deux charges utiles»

La première charge utile est un petit exécutable «C #» qui est chargé d’extraire un deuxième exécutable à partir des données stockées dans le registre du système Windows. Le deuxième exécutable en tant que charges utiles finales est un injecteur dotNET intermédiaire qui déploie un malware basé sur Delphi en utilisant le processus «Hollowing technique».

Le chercheur en cybersécurité « Sophos » a également expliqué que les applications légitimes, y compris « ImagingDevices.exe » – les composants système associés au système d’exploitation Windows et « Embarcadero External Translation Manager » sont utilisées par les attaquants derrière la campagne de logiciels malveillants Gootloader pour ce processus.

Ce malware Delphi comprend une copie cryptée de REvil, Gootkit, Cobalt Strike ou Kronos, et est le dernier maillon de la chaîne d’infection. Les chercheurs ont également expliqué que les cybercriminels utilisent plusieurs variantes de méthodes de livraison, y compris des scripts PowerShell supplémentaires, des modules Cobalt Strike ou des exécutables d’injecteur de code dans cette campagne de logiciels malveillants.

Manière d’éviter ce type de campagne de malware

Les chercheurs ont expliqué qu’une solution pour empêcher le remplacement d’une page piratée consiste à utiliser des bloqueurs de script qui pourraient vous aider à empêcher System de tels scripts ou charges utiles malveillants. De plus, arrêtez de cliquer sur les liens / boutons suspects proposés par malison ou sur des sites Web / forums piratés. C’est tout. Pour toute suggestion ou question, veuillez écrire dans la boîte de commentaires ci-dessous.