Maliciozni softver Gootkit u velikoj mjeri napada zdravstvene i finansijske organizacije u SAD-u, Velikoj Britaniji i Australiji, prema novim nalazima Cybereason-a.
Firma za kibernetičku bezbjednost saopštila je da je istražila incident Gootkit u decembru 2022. godine koji je usvojio novu metodu raspoređivanja, pri čemu su hakeri zloupotrijebili uporište kako bi isporučili Cobalt Strike i SystemBC za naknadnu eksploataciju.
“Haker je pokazao brzo kretanje, brzo je krenuo u kontrolu mreže koju je zarazio i dobio povišene privilegije za manje od 4 sata”, rekao je Cybereason u analizi objavljenoj 8. februara 2023. godine.
Gootkit, također nazvan Gootloader, se isključivo pripisuje pretnji kojeg Mandiant prati kao UNC2565. Započevši svoj život 2014. godine kao bankarski trojanac, maliciozni softver se od tada pretvorio u loader koji je sposoban da isporuči korisne podatke sljedeće faze.
Promjenu u taktici Sophos je prvi otkrio u martu 2021. godine. Gootloader ima oblik jako zamagljenih JavaScript datoteka koje se serviraju preko kompromitovanih WordPress stranica koje su bolje rangirane u rezultatima pretraživača kroz tehnike trovanja.
Lanac napada se oslanja na namamljivanje žrtava koje traže sporazume i ugovore na DuckDuckGo i Google-u na zamka web stranici, što na kraju dovodi do postavljanja Gootloader-a.
Najnoviji talas je takođe poznat po prikrivanju malicioznog koda unutar legitimnih JavaScript biblioteka kao što su jQuery, Chroma.js, Sizzle.js i Underscore.js, koji se zatim koristi za stvaranje sekundarnog 40 MB JavaScript korisnog payload-a koji uspostavlja postojanost i pokreće malware.
U incidentu koji je ispitao Cybereason, kaže se da je Gootloader infekcija utrla put Cobalt Strike-u i SystemBC-u da izvrše lateralno kretanje i moguću eksfiltraciju podataka. Napad je na kraju osujećen.
Ovo otkrivanje dolazi usred tekućeg trenda zloupotrebe Google Ads-a od strane operatera malicioznog softvera kao vektora upada za distribuciju raznih malicioznih programa kao što su FormBook, IcedID, RedLine, Rhadamanthys i Vidar.
Evolucija Gootloader-a u sofisticirani loader se dodatno odražava kako hakeri neprestano traže nove mete i metode kako bi maksimizovali svoj profit okretanjem prema modelu malware-as-a-service (MaaS) i prodajom tog pristupa drugim kriminalcima.
Izvor: The Hacker News
