サイバー犯罪者は、GootLoaderの手法を使用してランサムウェアを配信します

攻撃者はBlackHat SEOを使用して、ランサムウェア、トロイの木馬をプッシュします

報告によると、サイバー犯罪者はブラックハットSEO技術を使用して、トロイの木馬、ランサムウェア、その他のマルウェアなどのマルウェアを「GootLoader」を介して拡散し、複雑でステルスなフレームワークに関与させています。常にアクティブなサーバー。

サイバー犯罪者は、GootLoaderのメカニズムでマルウェアキャンペーンの再生を使用し、ハッキングされたWordPress Webサイト、およびGoogle結果の悪意のあるSEO手法を介して、さまざまなトロイの木馬、ランサムウェア、またはその他のマルウェアをプッシュします。

ハッキングされたWordPressWebサイトの広大なネットワークを形成し、SEOポイズニングまたはBlack Hat SEOを使用してGoogleフォーラムに表示することにより、攻撃者が再編成され、悪意のあるリンクを含む偽のフォーラムが投稿されます。偽の掲示板は、特定の地域からのサイトの訪問者にのみ表示され、「ウェブサイト管理者」からの投稿で彼らの質問に対する答えを含む「ディスカッション」を提示します。

サイバーセキュリティ会社「Sophos」によると、「GootLoader」は、ハッキングされた正当なWebサイトをホストする約400台のサーバーをいつでもアクティブに制御します。また、この手法の背後にあるサイバー犯罪者は、ハッキングされたWebサイトのCMS(コンテンツ管理システム)を変更して、特定の場所からの訪問者に偽のメッセージボードを表示しました。

Gootloaderフレームワークに関連する一部のハッキングされたWebサイトは、偽のフォーラム投稿を配信して、不動産取引に関連する非常に具体的な検索クエリに対する回答を提供します。これらの偽のフォーラム投稿には、ユーザーをハッキングされたドメインにリダイレクトする悪意のあるハイパーリンクが含まれており、ユーザーをだましてGootkitやREvilRansomwareなどのGootloaderペイロードをインストールさせます。

前述のように、攻撃者はGootLoaderメカニズムを使用して、ハッキングされたWordPress Webサイトを介し、悪意のあるSEO手法またはBlack HatSEO手法を使用してマルウェアやウイルスを拡散します。 GootLoaderは、「KronasTrojan」とCobaltStrike脅威エミュレーションツールキットを広めることも確認されています。

サイバーセキュリティ研究者の「ソフォス」によると、このマルウェアキャンペーンは、フランスだけでなく、米国、ドイツ、韓国からの訪問者を標的としています。偽のフォーラム/サイトの投稿に関連付けられているリンクをクリックすると、感染を開始するJavaScriptファイルのZIPアーカイブに訪問者がリダイレクトされます。このように、GootLoader技術を使用して配信されたマルウェアは、システムメモリに展開されるため、従来のセキュリティソフトウェアはマルウェアを検出できません。このような偽のフォーラム投稿は、最初は正当または正常に見えるかもしれませんが、終わりに向かって理解できないランブルに変わります。

グートローダーマルウェアキャンペーンは、マルウェアペイロードをシステムメモリに配信します

 前述のように、Gootloaderの初期ペイロード「JavaScript」ファイルは感染を開始し、従来のウイルス対策ソリューションによるこの感染の検出を回避します。これらのペイロードには、攻撃の次の段階に関連する文字列とデータBLOBに対する2層の暗号化が含まれています。このペイロードの第2段階が終了すると、Gootloader C2(コマンドアンドコントロール)サーバーは、ASCII文字を含む数値の文字列をシステムメモリに配信します。セキュリティ研究者がGootkitの配信フレームワークを使用してドイツのターゲットへの「REvilRansomware」の配信を分析したときに、「Malwarebytes」によって同じ方法が観察されたことに注意してください。

GootloaderのJavaScriptファイルは初期ペイロードとして機能し、このマルウェアキャンペーンの次のステップは、「Powershell」スクリプト用に作成された自動実行エントリであり、システムを再起動するたびに読み込まれます。このペイロードの目的は、以前にシステムレジストリキーに書き込まれたコンテンツをデコードすることです。ただし、Gootkit、REvil、Kronas、CobaltStrikeなどのシステムメモリへの最終ペイロードがトリガーされます。

グートローダーのサンプルは、レジストリを使用して「2つのペイロード」を保存します

最初のペイロードは小さな「C#」実行可能ファイルであり、Windowsシステムレジストリに保存されているデータから2番目の実行可能ファイルを抽出します。最終ペイロードとしての2番目の実行可能ファイルは、「Hollowingtechnique」プロセスを使用してDelphiベースのマルウェアを展開する中間のdotNETインジェクターです。

サイバーセキュリティ研究者の「ソフォス」は、「ImagingDevices.exe」(Windows OSに関連するシステムコンポーネント)や「EmbarcaderoExternal Translation Manager」などの正規のアプリケーションが、このプロセスのGootloaderマルウェアキャンペーンの背後にいる攻撃者によって使用されているとも説明しました。

このDelphiマルウェアには、REvil、Gootkit、Cobalt Strike、またはKronosの暗号化されたコピーが含まれており、感染チェーンの最後のリンクです。研究者はまた、サイバー犯罪者がこのマルウェアキャンペーンで追加のPowerShellスクリプト、Cobalt Strikeモジュール、またはコードインジェクター実行可能ファイルを含む複数のバリエーションの配信方法を使用していると説明しました。

このタイプのマルウェアキャンペーンを防ぐ方法

研究者は、ハッキングされたページの置き換えを防ぐ1つの解決策は、システムがそのような悪意のあるスクリプトやペイロードから保護するのに役立つスクリプトブロッカーを使用することであると説明しました。また、マリソンやハッキングされたWebサイト/フォーラムが提供する疑わしいリンク/ボタンをクリックするのはやめましょう。それで全部です。 提案や質問がある場合は、下のコメントボックスに書き込んでください。