Porodica malicioznog softvera Gootloader koristi sofisticirane blackhat SEO tehnike kako bi zarazila nesuđene korisnike.
Ovaj maliciozni softver koristi proces infekcije u više faza koji počinje s narušenim WordPress stranicama i završava isporukom opasnih korisnih podataka.
Operatori Gootloader-a narušavaju legitimne WordPress web stranice i ubrizgavaju maliciozni kod koji im omogućava da manipulišu rezultatima search-a.
Kada korisnici pretražuju određene termine, često povezane sa pravnim sporazumima ili poslovnim dokumentima, ugrožene stranice se pojavljuju pri vrhu rezultata.
Istraživači sigurnosti u Sophosu primijetili su da nakon posjete jednoj od ovih lokacija, žrtvama se prikazuje lažna stranica foruma koja izgleda kao da odgovara na njihov tačan upit.
Ova stranica sadrži link za preuzimanje koji navodno pruža dokument koji je korisnik tražio. Međutim, klikom na ovu vezu zapravo se isporučuje prvostepeno opterećenje Gootloader-a – maliciozni JavaScript fajl.
Blackhat SEO tehnike
Narušene WordPress stranice sadrže ubačeni PHP kod koji komunicira sa komandnim i kontrolnim serverom, koji se naziva “matični brod”. Ovaj server dinamički pruža lažni sadržaj foruma i maliciozne sadržaje .
Ključni tehnički aspekti uključuju:-
- Upotreba WordPress tabele baze podataka pod nazivom “backupdb_wp_lstat” za blokiranje ponovnih posetilaca iz istog IP opsega tokom 24 sata.
- Ubacivanje malicioznog koda u Hello Dolly WordPress dodatak za održavanje postojanosti.
- Upotreba jako zamućenog JavaScript koda u prvom stupnju korisnog opterećenja.
- Komunikacija sa C2 serverima koristeći base64 kodiranje i prilagođene parametre.
Gootloader koristi nekoliko blackhat SEO metoda:-
- Ubacivanje skrivenih elemenata sa ciljanim ključnim riječima na ugrožene stranice.
- Kreiranje lažnih forumskih diskusija koje se točno podudaraju s upitima za pretraživanje.
- Manipulisanje WordPress bazama podataka za posluživanje malicioznog sadržaja pretraživačima.
Maliciozni softver održava postojanost modifikovanjem osnovnih WordPress datoteka i dodataka. Koristi opsežno zamagljivanje koda kako bi izbjegao otkrivanje. Operateri često rotiraju IP adrese i domene za svoju C2 infrastrukturu.
Unatoč tome što je prvi put otkriven 2018., Gootloader ostaje aktivna prijetnja koja se razvija. Operateri su održavali većinu iste infrastrukture, uključujući domen my-game[.]biz, koji je povezan sa malverom od njegovog početka.
.webp){kind=spacer}
Web stranica my-game je pripadala njemačkom Counter-Strike timu prije nego što je postala dom malicioznih programa Gootkit/Gootloader.
.webp)
Istraživači sigurnosti uspjeli su spojiti veliki dio funkcionalnosti Gootloader-a kroz obavještajne podatke otvorenog koda i analizu ugroženih lokacija. Međutim, cijeli kod na strani servera ostaje neuhvatljiv, jer se nalazi na infrastrukturi koju kontrolišu napadači.
YARA pravilo za otkrivanje Gootloader-ovih JScript datoteka prve faze:-
pravilo gootkit_js_stage1
{
strings:
$a1 = /function .{4,60}{return .{1,20} % .{0,8}(.{1,20}+.{1,20});}/
$ a2 = /function [\w]{1,14}(.{1,14},.{1,50}) {povratak .{1,14}.substr(.{1,10},.{1,10});}/
$a3 = /function [\w]{1,14}(.{1,50}) {povratak .{1,14}.length;.{1,4}}/
$a4 = /funkcija [\w]{1,14}(.{0,40}){.{0,40};dok ([\w]{1,20} < [23][\d]{3}) {/
$b1 = /;WScript.Sleep([\d]{4,10});/
$b2 = /funkcija [\w]{1,14}(.{0,40}) {.{0,40};dok([\w]{1,20}<([\w]{1,14}*[\d]{4,10}) {/
uslov:
3 od ($a ) i 1 od ($b )
}
Izvor: CyberSecurityNews
