Gootkit RAT utiliza SEO para distribuir malware a través de sitios comprometidos

Un marco conocido por entregar un troyano bancario ha recibido un lavado de cara para implementar una gama más amplia de malware, incluidas las cargas útiles de ransomware.

«La familia de malware Gootkit ha existido durante más de media década: un troyano maduro con funcionalidad centrada en el robo de credenciales bancarias», dijeron los investigadores de Sophos Gabor Szappanos y Andrew Brandt en un artículo publicado hoy.

«En los últimos años, se ha dedicado casi tanto esfuerzo a la mejora de su método de entrega como al propio malware basado en NodeJS».

Apodado «Gootloader», el sistema ampliado de entrega de malware surge en medio de un aumento en la cantidad de infecciones dirigidas a usuarios en Francia, Alemania, Corea del Sur y EE. UU.

Documentado por primera vez en 2014, Gootkit es una plataforma de malware basada en Javascript capaz de llevar a cabo una variedad de actividades encubiertas, incluida la inyección web, capturar pulsaciones de teclas, tomar capturas de pantalla, grabar videos, así como el robo de correo electrónico y contraseña.

A lo largo de los años, la herramienta de ciberdelincuencia ha evolucionado para obtener nuevas funciones de robo de información, con el cargador de Gootkit reutilizado en combinación con las infecciones de ransomware REvil/Sodinokibi reportadas el año pasado.

Si bien las campañas que utilizan trucos de ingeniería social para entregar cargas maliciosas cuestan un centavo la docena, Gootloader lo lleva al siguiente nivel.

La cadena de infección recurre a técnicas sofisticadas que implican el alojamiento de archivos ZIP maliciosos en sitios web que pertenecen a empresas legítimas que han sido manipuladas para aparecer entre los primeros resultados de una consulta de búsqueda utilizando métodos manipulados de optimización de motores de búsqueda (SEO).

Además, los resultados del motor de búsqueda apuntan a sitios web que no tienen una conexión «lógica» con la consulta de búsqueda, lo que implica que los atacantes deben estar en posesión de una amplia red de sitios web pirateados. En un caso detectado por los investigadores, un consejo para un acuerdo de bienes raíces surgió como primer resultado de una práctica médica neonatal incumplida con sede en Canadá.

«Para garantizar que se capturen los objetivos de las geografías correctas, los adversarios reescriben el código del sitio web ‘sobre la marcha’ para que a los visitantes del sitio web que se encuentran fuera de los países deseados se les muestre contenido web benigno, mientras que a los de la ubicación correcta se les muestra una página con un falso foro de discusión sobre el tema que han consultado», dijeron los investigadores.

Al hacer clic en el resultado de la búsqueda, el usuario accede a una página similar a un tablero de mensajes falso que coincide no solo con los términos de búsqueda utilizados en la consulta inicial, sino que también incluye un enlace al archivo ZIP, que contiene un archivo Javascript muy ofuscado que inicia la siguiente etapa de comprometerse a inyectar el malware sin archivos obtenido de un servidor remoto en la memoria.

Esto toma la forma de un enfoque evasivo de varias etapas que comienza con un cargador .NET, que comprende un malware de cargador basado en Delphi que, a su vez, contiene la carga útil final en forma cifrada.

Además de entregar el ransomware REvil y el troyano Gootkit, se han detectado varias campañas que actualmente aprovechan el marco Gootloader para entregar el malware financiero Kronos en Alemania de forma sigilosa, y la herramienta de posexplotación Cobalt Strike en los EE. UU.

Todavía no está claro cómo los operadores obtienen acceso a los sitios web para servir las inyecciones maliciosas, pero los investigadores sospechan que los atacantes pueden haber obtenido las contraseñas instalando el malware Gootkit o comprando credenciales robadas de mercados clandestinos, o aprovechando fallas de seguridad en el presente. en los complementos utilizados junto con el software del sistema de gestión de contenido (CMS).

Los hallazgos han sido repetidos por Microsoft en un serie de tuitsseñalando que está «viendo numerosos ataques extensos de manos en el teclado que emanan del malware Gootkit, que se distribuye a través de descargas no autorizadas como JavaScript dentro de un archivo ZIP».

«Los desarrolladores detrás de Gootkit parecen haber cambiado los recursos y la energía de la entrega de su propio malware financiero a la creación de una plataforma de entrega compleja y sigilosa para todo tipo de cargas útiles, incluido el ransomware REvil», dijo Gabor Szappanos, director de investigación de amenazas de Sophos.

«Esto demuestra que los delincuentes tienden a reutilizar sus soluciones probadas en lugar de desarrollar nuevos mecanismos de entrega. Además, en lugar de atacar activamente las herramientas de punto final como lo hacen algunos distribuidores de malware, los creadores de Gootloader han optado por enrevesadas técnicas evasivas que ocultan el resultado final». adicional.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática