Un tempo utilizzato esclusivamente dai criminali informatici responsabili del ransomware REVil e il trojan bancario Gootkit, GootLoader e il suo payload primario si sono evoluti diventando una piattaforma di accesso iniziale “as a service”, con Gootkit che fornisce capacità di rubare informazioni e di distribuire strumenti di post-exploitation e ransomware.
GootLoader è noto per l’utilizzo dell’ottimizzazione dei motori di ricerca (SEO) per l’accesso iniziale. Le vittime sono spesso indotte a cliccare su adware dannosi o su link apparentemente legittimi. In questo caso, le vittime effettuano una ricerca corretta su Google che le indirizza a un sito web compromesso contenente un payload dannoso mascherato da file desiderato. Se il malware rimane inosservato sul computer della vittima, lascia il posto a un payload di secondo livello noto come GootKit, che è un malware altamente evasivo, in grado di rubare informazioni e di fungere da Trojan ad accesso remoto (RAT), utilizzato per stabilire un punto d’appoggio persistente nell’ambiente di rete della vittima. GootKit può essere utilizzato per distribuire ransomware o altri tool, tra cui Cobalt Strike, per successivi attacchi.
Il rilevamento di una nuova variante di GootLoader, utilizzata attivamente dagli aggressori all’inizio di quest’anno, ha portato a una vasta campagna di threat hunting da parte di Sophos X-Ops MDR per le istanze di GootLoader negli ambienti dei clienti. È stato scoperto che, come è tipico di Gootloader, la nuova variante utilizza il SEO poisoning, ovvero l’uso di tattiche di ottimizzazione dei motori di ricerca per posizionare i siti web dannosi controllati dagli operatori di GootLoader in cima ai risultati di specifiche ricerche, per distribuire il nuovo pacchetto Gootloader basato su JavaScript. In questo caso, abbiamo riscontrato che gli attori di GootLoader hanno utilizzato i risultati di ricerca per reperire informazioni su un particolare gatto e una particolare area geografica per distribuire il payload: “I gatti del Bengala sono legali in Australia?”.
Nel corso della campagna di ricerca delle minacce, MDR ha scoperto un archivio .zip utilizzato per distribuire il payload di primo livello di GootLoader, mentre stava esaminando la cronologia del browser di un utente colpito. Questo ha permesso a MDR di identificare il sito web compromesso che ospitava il payload dannoso. Questo rapporto illustra il processo di indagine di MDR e i dettagli tecnici della campagna GootLoader scoperta.
Continua a leggere.