Antes utilizado exclusivamente por los ciberdelincuentes responsables del ransomware REVil y del troyano bancario Gootkit, GootLoader y su carga útil principal han evolucionado hasta convertirse en una plataforma de acceso inicial «como servicio», con Gootkit proporcionando capacidades para robar información y distribuir herramientas de post-explotación y ransomware.
GootLoader es conocido por utilizar la optimización de motores de búsqueda (SEO) para el acceso inicial. A menudo induce a las víctimas a hacer clic en adware malicioso o en enlaces aparentemente legítimos. En este caso, las víctimas realizan una búsqueda en Google que les dirige a un sitio web comprometido que contiene una carga maliciosa disfrazada como el archivo deseado. Si el malware permanece sin ser detectado en el ordenador de la víctima, da paso a una carga útil de segundo nivel conocida como GootKit, que es un malware altamente evasivo capaz de robar información y actuar como un troyano de acceso remoto (RAT), utilizado para establecer un punto de apoyo persistente en el entorno de red de la víctima. GootKit puede utilizarse para distribuir ransomware u otras herramientas, como Cobalt Strike, para ataques posteriores.
La detección de una nueva variante de GootLoader utilizada activamente por los atacantes a principios de este año llevó a Sophos X-Ops MDR a realizar una amplia campaña de caza de amenazas en busca de instancias de GootLoader en entornos de clientes. Se descubrió que, como es típico de Gootloader, la nueva variante utiliza el envenenamiento SEO (el uso de tácticas de optimización de motores de búsqueda para colocar sitios web maliciosos controlados por operadores de GootLoader en la parte superior de determinados resultados de búsqueda) para distribuir el nuevo paquete Gootloader basado en JavaScript. En este caso, descubrimos que los actores de GootLoader utilizaban los resultados de búsqueda para encontrar información sobre un gato concreto y una zona geográfica determinada para distribuir la carga útil: «¿Son legales los gatos de Bengala en Australia?».
En el transcurso de la campaña de investigación de amenazas, MDR descubrió un archivo .zip utilizado para distribuir la carga útil de nivel superior de GootLoader, mientras examinaba el historial del navegador de un usuario afectado. Esto permitió a MDR identificar el sitio web comprometido que alojaba la carga maliciosa. Este informe explica el proceso de investigación de MDR y los detalles técnicos de la campaña GootLoader descubierta.
Seguir leyendo (en inglés).
