Búsqueda de Ciberamenazas

Todo lo que debes saber sobre Gootloader

La inteligencia de código abierto revela el código del lado del servidor de este peligroso malware orientado al SEO

La familia de malware Gootloader utiliza una forma distintiva de ingeniería social para infectar ordenadores: sus creadores atraen a la gente para que visite sitios web WordPress legítimos y comprometidos utilizando resultados de búsqueda de Google secuestrados, presentan a los visitantes de estos sitios un tablón de mensajes online simulado y enlazan con el malware desde una «conversación» simulada en la que un falso visitante hace a un falso administrador del sitio la pregunta exacta para la que la víctima estaba buscando una respuesta.

La mayor parte del proceso de infección está dirigido por un código que se ejecuta en el servidor WordPress comprometido y en otro servidor que hemos denominado anteriormente «la nave nodriza », que orquesta una elaborada y compleja danza para producir dinámicamente una página que aparentemente responde a la pregunta exacta que estás haciendo. Los operadores de Gootloader realizan entre bastidores cambios casi imperceptibles en los sitios WordPress comprometidos que hacen que esos sitios carguen el contenido extra de la nave nodriza.

Cada aspecto de este proceso está ofuscado hasta tal punto que incluso los propietarios de las páginas de WordPress comprometidas a menudo no pueden identificar las modificaciones en su propio sitio ni activar el código de Gootloader cuando visitan sus propias páginas. Al mismo tiempo, a menos que controles uno de los sitios de WordPress afectados, puede ser muy difícil (si no imposible) hacerse con este código para estudiarlo: las entradas modificadas de la base de datos de WordPress y los scripts PHP que componen Gootloader residen solo en el servidor comprometido, donde los investigadores de seguridad normalmente no pueden acceder (salvo acceso físico o shell al propio servidor).

Sophos X-Ops ha informado anteriormente sobre varios aspectos de Gootloader. Sin embargo, Sophos X-Ops ha reconstruido cómo funcionan las operaciones del lado del servidor de Gootloader, utilizando pistas dejadas tanto por los actores de la amenaza (como por otros investigadores de seguridad) publicadas en herramientas de código abierto en Internet. Hemos reunido este conocimiento colectivo en este informe.

Aquí puedes leer el artículo completo en inglés.