Os cibercriminosos usam a técnica GootLoader para fornecer ransomware

Os invasores usam o Black Hat SEO para enviar ransomware e cavalos de Tróia

De acordo com o relatório, os cibercriminosos usam técnicas de SEO black hat para espalhar malware como Trojan, ransomware ou outro malware por meio do ‘GootLoader’ – envolvido em uma estrutura complexa e furtiva, e agora esse mecanismo distribui essas infecções em várias regiões de centenas de hackeados servidores que estão ativos o tempo todo.

Os cibercriminosos usam a campanha de malware reproduzida no mecanismo do GootLoader e usam uma variedade mais ampla de cavalos de Troia, ransomware ou outro malware por meio de um site WordPress hackeado e técnicas de SEO maliciosas para os resultados do Google.

Os atores da ameaça se reagruparam formando uma vasta rede de sites WordPress hackeados e usando envenenamento de SEO ou Black Hat SEO para mostrar nos fóruns do Google postagens de fóruns falsos com links maliciosos. Os quadros de mensagens falsos aparecem apenas para os visitantes do site de áreas geográficas específicas e apresentam a eles uma ‘Discussão’ que contém a resposta à sua inquietação na postagem do ‘administrador do site’.

De acordo com a empresa de segurança cibernética ‘Sophos’, ‘GootLoader’s controla cerca de 400 servidores ativos a qualquer momento que hospedam sites hackeados e legítimos. Além disso, os cibercriminosos por trás dessa técnica modificaram o CMS (Sistema de Gerenciamento de Conteúdo) de sites hackeados para mostrar os quadros de mensagens falsos para visitantes de locais específicos.

Alguns sites hackeados associados à estrutura Gootloader fornecem postagens de fórum falsas para fornecer uma resposta a uma consulta de pesquisa muito específica relacionada a transações imobiliárias. Essas postagens falsas do fórum contêm hiperlinks maliciosos para redirecionar os usuários para o domínio hackeado e engana os usuários para que instalem cargas úteis do Gootloader, incluindo Gootkit e REvil Ransomware.

Como mencionado, o mecanismo GootLoader é usado por invasores para espalhar malware ou vírus através de sites WordPress hackeados e usando técnicas de SEO maliciosas ou técnicas de SEO Black Hat para os resultados do Google. GootLoader também espalhou o kit de ferramentas de emulação de ameaças ‘Kronas Trojan’ e Cobalt Strike.

De acordo com o pesquisador de segurança cibernética ‘Sophos’, esta campanha de malware tem como alvo os visitantes dos EUA, Alemanha e Coreia do Sul, bem como da França. Clicar no link associado a postagens de fóruns / sites falsos redireciona os visitantes para o arquivo ZIP do arquivo JavaScript que inicia a infecção. Dessa forma, o malware entregue usando técnicas GootLoader é implantado na memória do sistema para que o software de segurança tradicional não possa detectá-lo. Essas postagens falsas no fórum podem parecer legítimas ou normais no início, mas se transformam em uma divagação ininteligível no final.

Campanha de malware Gootloader entrega cargas de malware na memória do sistema

 Como mencionado, o arquivo ‘JavaScript’ de payloads iniciais do Gootloader inicia a infecção e evita a detecção dessa infecção por soluções antivírus tradicionais. Essas cargas úteis incluem duas camadas de criptografia para strings e blobs de dados que se relacionam com o próximo estágio de ataque. O segundo estágio desta carga útil quando concluído, o servidor Gootloader C2 (Comando e Controle) entrega uma string de valores numéricos com caracteres ASCII na memória do sistema. Observe que o mesmo método foi observado por ‘Malwarebytes’ quando os pesquisadores de segurança analisaram a entrega de ‘REvil Ransomware’ para alvos alemães usando a estrutura de entrega do Gootkit.

O arquivo JavaScript do Gootloader atua como cargas úteis iniciais e a próxima etapa desta campanha de malware é uma entrada de execução automática criada para o script ‘Powershell’ para que carregue a cada reinicialização do sistema. O objetivo dessa carga útil é decodificar o conteúdo escrito anteriormente nas chaves de registro do sistema. No entanto, ele dispara cargas úteis finais na memória do sistema, que podem ser Gootkit, REvil, Kronas ou Cobalt Strike.

Amostras do Gootloader usam o registro para armazenar ‘Duas cargas úteis’

A primeira carga útil é um pequeno executável “C #” responsável por extrair um segundo executável dos dados armazenados no registro do sistema Windows. O segundo executável como carga útil final é um injetor dotNET intermediário que implanta um malware baseado em Delphi usando o processo “técnica de esvaziamento”.

O pesquisador de segurança cibernética ‘Sophos’ também explicou que os aplicativos legítimos, incluindo ‘ImagingDevices.exe’ – componentes do sistema associados ao sistema operacional Windows, e ‘Embarcadero External Translation Manager’ são usados ​​por atacantes por trás da campanha de malware Gootloader para este processo.

Este Malware Delphi inclui uma cópia criptografada de REvil, Gootkit, Cobalt Strike ou Kronos e é o último elo na cadeia de infecção. Os pesquisadores também explicaram que os cibercriminosos usam várias variações de métodos de entrega, incluindo scripts adicionais do PowerShell, módulos Cobalt Strike ou executáveis ​​injetores de código nesta campanha de malware.

Maneira de se prevenir contra esse tipo de campanha de malware

Os pesquisadores explicaram que uma solução para evitar a substituição da página hackeada é o uso de bloqueadores de script que podem ajudá-lo a impedir o sistema de tais scripts maliciosos ou cargas úteis. Além disso, pare de clicar em qualquer link / botão suspeito oferecido por malison ou sites / fóruns hackeados. Isso é tudo. Para qualquer sugestão ou dúvida, escreva na caixa de comentários abaixo.