El sistema de entrega de ransomware para el ladrón de información Gootkit se ha convertido en una estructura compleja que le ha valido un nuevo nombre: Gootloader. El programa malicioso ahora está distribuyendo una variedad más amplia de malware a través de sitios de WordPress pirateados y técnicas de SEO maliciosas para engañar al algoritmo de Google para obtener resultados.
Conocido como black hat SEO, es una técnica de optimización agresiva para motores de búsqueda que intenta manipular tus reglas para obtener las mejores posiciones en el ranking de Google, por ejemplo. El nombre sombrero negro es una alusión a las películas del oeste, en las que los bandidos generalmente usaban sombreros negros.
Además de aumentar la cantidad de cargas útiles, se vio a Gootloader distribuyéndolas en varias regiones desde cientos de servidores pirateados que están activos todo el tiempo. El año pasado se detectaron campañas de malware que dependen del motor Gootloader para instalar el ransomware REvil para objetivos en Alemania. La actividad marcó la reanudación de las operaciones de Gootkit, que se tomaron un largo descanso después de una fuga de datos a fines de 2019.
Los piratas informáticos se han reagrupado formando una vasta red de sitios de WordPress pirateados y utilizando el envenenamiento de SEO para mostrar publicaciones falsas en foros con enlaces maliciosos en los foros de Google.
Un informe reciente publicado por la empresa de ciberseguridad Sophos estima que Gootloader controla alrededor de 400 servidores activos en un momento dado que alojan sitios web legítimos pirateados. Los investigadores de la compañía dicen que el operador de amenazas ha modificado el sistema de gestión de contenido (CMS) de los sitios pirateados para mostrar foros de mensajes falsos a los visitantes de ubicaciones específicas.
En un ejemplo de un sitio web pirateado que forma parte del marco de Gootloader, la publicación falsa del foro parece proporcionar una respuesta a una consulta de búsqueda muy específica relacionada con transacciones inmobiliarias. Sin embargo, el resultado está en un sitio web para una práctica médica neonatal que no tiene nada en común con el tema investigado, “pero es el primer resultado que aparece en una consulta sobre un tipo de contrato inmobiliario muy restringido”.
Además de la carga útil típica, Gootkit y REvil ransomware, Gootloader también distribuye el troyano Kronos y el kit de herramientas de emulación de amenazas Cobalt Strike. Según Sophos, las campañas de Gootloader se dirigen a visitantes de Alemania, Estados Unidos y Corea del Sur. Otro país al que se dirigió anteriormente es Francia.
Al hacer clic en el enlace, el visitante accede a un archivo Zip de un archivo JavaScript que actúa como el infeccioso inicial. Los investigadores señalan que esta es la única etapa en la que se escribe un archivo en el disco y que todos los demás programas maliciosos se implantan en la memoria del sistema, por lo que las herramientas de seguridad tradicionales no pueden detectarlo.
Todas las publicaciones del foro tienen el mismo aspecto, independientemente del idioma. Si el visitante no coincide con el perfil de destino, verá una página falsa con texto que parece normal al principio, pero se convierte en un paseo ininteligible al final.
Giros en la cadena de infección.
La carga útil inicial de JavaScript se eclipsa dos veces para evitar la detección de soluciones antivirus tradicionales. También incluye dos capas de cifrado para cadenas de datos y blobs que se relacionan con la siguiente etapa del ataque, que es el único propósito del código malicioso. Si el paso a la segunda etapa tiene éxito, el servidor de comando y control (C2) Gootloader proporciona una secuencia de valores numéricos que representan caracteres ASCII, que se carga en la memoria del sistema.
vea eso
Revil Ransomware muestra el acceso al servidor de Union Bank of Nigeria
Trojan Trickbot está de vuelta en una nueva campaña de spam malicioso
“Esta etapa contiene una gran burbuja de datos que primero decodifica de su valor numérico en texto y luego escribe directamente en una serie de claves en el Registro de Windows, en la sección HKCU Software”, dice Sophos. La compañía dice que las últimas muestras de Gootloader usan el registro para almacenar dos cargas útiles, un pequeño ejecutable de C # que se encarga de extraer un segundo ejecutable de los datos almacenados en el Registro de Windows. Este segundo ejecutable es Gootloaders de carga final, un inyector .Net intermedio que implementa malware basado en Delphi utilizando la técnica de vaciado de procesos.
Este malware Delphi es el último eslabón de la cadena de infección, ya que incluye una copia encriptada de REvil, Gootkit, Cobalt Strike o Kronos. Descifra la carga que transporta y la ejecuta en memoria.
Todos estos giros en cada etapa del ataque le dan al atacante algo de tiempo para ejecutar sus campañas, ya que los analistas de malware pueden dedicar mucho tiempo a comprender cada paso de la cadena de infección. Sophos dice que hay varias variaciones en los métodos de entrega que involucran scripts de PowerShell adicionales, módulos Cobalt Strike o inyectores de código ejecutable.
Los investigadores dicen que el uso de bloqueadores de secuencias de comandos puede mantener a los usuarios alejados de esta amenaza, ya que pueden evitar que se reemplace la página pirateada. Sin embargo, esta solución es popular entre un pequeño número de usuarios y todavía queda un gran grupo de posibles víctimas. Sophos ha publicado un análisis técnico de la cadena de infección de Gootloader y pone a disposición indicadores de compromiso y una regla empírica en su página de GitHub. Yara para sus archivos JavaScript maliciosos.
Fuente: https://www.cisoadvisor.com.br/hackers-usam-black-hat-seo-para-enviar-ransomware-e-trojans-via-google/?rand=59052
