I criminali informatici utilizzano la tecnica di GootLoader per fornire ransomware

Gli aggressori utilizzano Black Hat SEO per spingere ransomware e trojan

Secondo il rapporto, i criminali informatici utilizzano tecniche SEO black hat per diffondere malware come Trojan, ransomware o altri malware tramite il “GootLoader”, coinvolti in un framework complesso e furtivo, e ora questo meccanismo ha distribuito tali infezioni in più regioni da centinaia di hackerati. server sempre attivi.

I criminali informatici utilizzano campagne di malware che si riproducono sul meccanismo di GootLoader e spingono una più ampia varietà di Trojan, ransomware o altri malware tramite il sito Web WordPress compromesso e tecniche SEO dannose per i risultati di Google.

Gli autori delle minacce si sono raggruppati formando una vasta rete di siti Web WordPress compromessi e utilizzando l’avvelenamento da SEO o Black Hat SEO per mostrare nei post del forum di Google forum falsi con collegamenti dannosi. Le bacheche false appaiono solo ai visitatori del sito provenienti da aree geografiche specifiche e presentano loro una “Discussione” che contiene la risposta al loro tremito nel post dell ‘”amministratore del sito web”.

Secondo la società di sicurezza informatica “Sophos”, “GootLoader’s controlla circa 400 server attivi in ​​qualsiasi momento che ospitano siti Web compromessi e legittimi. Inoltre, i criminali informatici dietro questa tecnica hanno modificato il CMS (Content Management System) dei siti Web compromessi per mostrare le bacheche false ai visitatori provenienti da posizioni specifiche.

Alcuni siti Web compromessi associati al framework Gootloader forniscono post falsi nel forum per fornire una risposta a una query di ricerca molto specifica relativa a transazioni immobiliari. Questi post falsi del forum contengono collegamenti ipertestuali dannosi per reindirizzare gli utenti al dominio compromesso e inducono gli utenti a installare payload Gootloader tra cui Gootkit e REvil Ransomware.

Come accennato, il meccanismo GootLoader viene utilizzato dagli aggressori per diffondere malware o virus tramite siti Web WordPress compromessi e utilizzando tecniche SEO dannose o tecniche SEO Black Hat per i risultati di Google. È stato anche osservato che GootLoader diffonde il toolkit di emulazione delle minacce “Kronas Trojan” e Cobalt Strike.

Secondo il ricercatore di sicurezza informatica “Sophos”, questa campagna di malware prende di mira i visitatori provenienti da Stati Uniti, Germania, Corea del Sud e Francia. Facendo clic sul collegamento associato a post falsi di forum / siti reindirizza i visitatori all’archivio ZIP del file JavaScript che avvia l’infezione. In questo modo, il malware fornito utilizzando le tecniche GootLoader viene distribuito nella memoria di sistema in modo che il software di sicurezza tradizionale non possa rilevarlo. Tali post falsi sul forum potrebbero sembrare legittimi o normali all’inizio, ma si trasformano in una divagazione incomprensibile verso la fine.

La campagna di malware Gootloader fornisce payload di malware nella memoria di sistema

 Come accennato, il file “JavaScript” dei payload iniziali di Gootloader avvia l’infezione ed evita il rilevamento di questa infezione da parte delle soluzioni antivirus tradizionali. Questi payload includono due livelli di crittografia a stringhe e BLOB di dati che riguardano la fase successiva dell’attacco. Al termine della seconda fase di questo payload, il server Gootloader C2 (Command and Control) fornisce una stringa di valori numerici con caratteri ASCII nella memoria di sistema. Si noti che lo stesso metodo è stato osservato da “Malwarebytes” quando i ricercatori della sicurezza hanno analizzato la consegna di “REvil Ransomware” a obiettivi tedeschi utilizzando il framework di distribuzione di Gootkit.

Il file JavaScript di Gootloader funge da payload iniziale e il passaggio successivo di questa campagna di malware è una voce di esecuzione automatica creata per lo script “Powershell” in modo che venga caricato a ogni riavvio del sistema. Lo scopo di questo payload è decodificare il contenuto scritto in precedenza nelle chiavi del registro di sistema. Tuttavia, attiva i payload finali nella memoria di sistema che possono essere Gootkit, REvil, Kronas o Cobalt Strike.

Gli esempi di Gootloader utilizzano il registro per archiviare “Two Payloads”

Il primo payload è un piccolo eseguibile “C #” responsabile dell’estrazione di un secondo eseguibile dai dati archiviati nel registro di sistema di Windows. Il secondo eseguibile come payload finale è un dotNET iniettore intermedio che distribuisce un malware basato su Delphi utilizzando il processo “tecnica di svuotamento”.

Il ricercatore di sicurezza informatica “Sophos” ha anche spiegato che le applicazioni legittime, tra cui “ImagingDevices.exe”, i componenti di sistema associati al sistema operativo Windows e “Embarcadero External Translation Manager”, vengono utilizzate dagli aggressori dietro la campagna di malware Gootloader per questo processo.

Questo malware Delphi include una copia crittografata di REvil, Gootkit, Cobalt Strike o Kronos ed è l’ultimo anello della catena delle infezioni. I ricercatori hanno anche spiegato che i criminali informatici utilizzano più varianti dei metodi di consegna, inclusi script PowerShell aggiuntivi, moduli Cobalt Strike o eseguibili iniettore di codice in questa campagna di malware.

Modo per prevenire questo tipo di campagna malware

I ricercatori hanno spiegato che una soluzione per impedire la sostituzione della pagina compromessa è quella di utilizzare blocchi di script che potrebbero aiutarti a impedire al sistema di tali script o payload dannosi. Inoltre, smetti di fare clic su collegamenti / pulsanti sospetti offerti da siti Web / forum malison o compromessi. È tutto. Per qualsiasi suggerimento o domanda, scrivi nella casella dei commenti qui sotto.