O malware Gootkit está a perseguir de forma proeminente as organizações de cuidados de saúde e financeiras nos EUA, Reino Unido e Austrália, de acordo com as novas descobertas da Cybereason.
A empresa de ciber-segurança disse ter investigado um incidente Gootkit em Dezembro de 2022 que adoptou um novo método de implantação, com os actores a abusarem da base para entregar Cobalt Strike e SystemBC para pós-exploração.
“O actor da ameaça mostrou comportamentos rápidos, dirigindo-se rapidamente para controlar a rede que infectou, e obtendo privilégios elevados em menos de quatro horas,” Cybereason disse numa análise publicada a 8 de Fevereiro de 2023.
Gootkit, também chamado Gootloader, é exclusivamente atribuído a um actor ameaçador seguido pela Mandiant como UNC2565. Começando a sua vida em 2014 como um trojan bancário, o malware transformou-se, desde então, num carregador capaz de entregar cargas úteis da fase seguinte.
A mudança de táctica foi descoberta pela primeira vez por Sophos em Março de 2021. O Gootloader toma a forma de ficheiros JavaScript pesados, que são servidos através de sites WordPress comprometidos, classificados mais alto nos resultados dos motores de busca através de técnicas de envenenamento.
A cadeia de ataque depende de atrair as vítimas à procura de acordos e contratos no DuckDuckGo e no Google para a página web armadilhada, conduzindo, em última análise, à implantação do Gootloader.
A última vaga é também notáveis por esconder o código malicioso dentro de bibliotecas JavaScript legítimas como jQuery, Chroma.js, Sizzle.js, e Underscore.js, que é então utilizado para gerar uma carga útil JavaScript secundária de 40 MB que estabelece a persistência e lança o malware.
No incidente examinado pela Cybereason, diz-se que a infecção do Gootloader abriu caminho para que a Greve de Cobalto e o SystemBC conduzissem o movimento lateral e a possível exfiltração de dados. O ataque acabou por ser frustrado.
A divulgação vem no meio da tendência contínua de abuso dos Anúncios Google por operadores malware como um vector de intrusão para distribuir uma variedade de malware como o FormBook, IcedID, RedLine, Rhadamanthys, e Vidar.
A evolução do Gootloader para um carregador sofisticado é mais um reflexo de como os actores da ameaça estão constantemente à procura de novos alvos e métodos para maximizar os seus lucros, girando para um modelo MaaS (Malware-as-a-service) e vendendo esse acesso a outros criminosos.