Οι χειριστές της καμπάνιας GootLoader στρέφουν το βλέμμα τους σε υπαλλήλους λογιστικών και δικηγορικών γραφείων ως μέρος μιας νέας επίθεσης εκτεταμένων κυβερνοεπιθέσεων για την ανάπτυξη κακόβουλου λογισμικού σε μολυσμένα συστήματα, ένδειξη ότι ο αντίπαλος επεκτείνει την εστίασή του σε άλλους στόχους υψηλής αξίας.
“Το GootLoader είναι ένα κρυφό κακόβουλο λογισμικό αρχικής πρόσβασης, το οποίο αφού μπει στο σύστημα υπολογιστή του θύματος, μολύνει το σύστημα με ransomware ή άλλο θανατηφόρο κακόβουλο λογισμικό”, ανέφεραν ερευνητές από το eSentire σε μια αναφορά που κοινοποιήθηκε στο The Hacker News.
Ο πάροχος υπηρεσιών κυβερνοασφάλειας είπε ότι παρακολούθησε και εξάρθρωσε εισβολές που στόχευαν σε τρία δικηγορικά γραφεία και μια λογιστική επιχείρηση. Τα ονόματα των θυμάτων δεν έγιναν γνωστά.
Το κακόβουλο λογισμικό μπορεί να παραδοθεί στα συστήματα των στόχων μέσω πολλών μεθόδων, συμπεριλαμβανομένων των poisoned search results, των ψεύτικων ενημερώσεων και των trojanized εφαρμογών που λαμβάνονται από ιστότοπους που συνδέονται με πειρατικό λογισμικό. Το GootLoader καταφεύγει στην πρώτη τεχνική.
Τον Μάρτιο του 2021, προέκυψαν λεπτομέρειες μιας παγκόσμιας επίθεσης λήψης μέσω οδήγησης που περιελάμβανε εξαπάτηση ανυποψίαστων θυμάτων για να επισκεφτούν παραβιασμένους ιστότοπους WordPress που ανήκουν σε νόμιμες επιχειρήσεις μέσω μιας τεχνικής που ονομάζεται δηλητηρίαση μηχανών αναζήτησης που ωθεί αυτούς τους ιστότοπους στην κορυφή των αποτελεσμάτων αναζήτησης.
“Ο τρόπος λειτουργίας τους (MO) είναι να προσελκύσουν το θύμα σε έναν από τους παραβιασμένους ιστότοπους και στη συνέχεια να τον κάνουν να κάνουν κλικ στον σύνδεσμο, οδηγώντας στο Gootloader, το οποίο επιχειρεί να ανακτήσει το τελικό ωφέλιμο φορτίο, είτε πρόκειται για ransomware, τραπεζικό trojan ή εισβολή κλέφτης εργαλείου/διαπιστευτηρίων», εξήγησαν οι ερευνητές σε μια δημοσίευση.
Το eSentire εκτιμά ότι πάνω από 100.000 κακόβουλες ιστοσελίδες δημιουργήθηκαν πέρυσι σε ιστότοπους που αντιπροσωπεύουν οντότητες στον κλάδο των ξενοδοχείων, του λιανικού εμπορίου υψηλής ποιότητας, της εκπαίδευσης, της υγειονομικής περίθαλψης, της μουσικής και των εικαστικών τεχνών. αναζήτηση μεταγαμικών συμφωνιών ή συμφωνιών πνευματικής ιδιοκτησίας.
Οι ιστότοποι, από την πλευρά τους, διασπώνται εκμεταλλευόμενοι τα τρωτά σημεία ασφαλείας στο σύστημα διαχείρισης περιεχομένου WordPress (CMS), επιτρέποντας ουσιαστικά στους εισβολείς να εισάγουν κρυφά τις σελίδες της αρεσκείας τους χωρίς να το γνωρίζει ο ιδιοκτήτης του ιστότοπου.
Η φύση του GootLoader και ο τρόπος με τον οποίο έχει σχεδιαστεί για να παρέχει μια κερκόπορτα σε συστήματα υποδηλώνει ότι ο στόχος των επιθέσεων θα μπορούσε να είναι η συλλογή πληροφοριών, αλλά θα μπορούσε επίσης να χρησιμοποιηθεί ως εργαλείο για την παροχή πρόσθετων επιζήμιων ωφέλιμων φορτίων, συμπεριλαμβανομένου του Cobalt Strike και του ransomware, σε παραβιάσεις συστήματα για επακόλουθες επιθέσεις.
“Το GootLoader βασίζεται σε μεγάλο βαθμό στην κοινωνική μηχανική για να εδραιώσει τη βάση του, από τη δηλητηρίαση των αποτελεσμάτων αναζήτησης Google έως τη διαμόρφωση του ωφέλιμου φορτίου”, δήλωσε ο Keegan Keplinger, επικεφαλής έρευνας και αναφοράς για τη μονάδα αντιμετώπισης απειλών (TRU) του eSentire.
“Οι χειριστές του GootLoader προσκαλούν τους υπαλλήλους να αναζητήσουν, να κατεβάσουν και να εκτελέσουν το κακόβουλο λογισμικό τους με το πρόσχημα ενός δωρεάν προτύπου επιχειρηματικής συμφωνίας. Αυτό είναι ιδιαίτερα αποτελεσματικό κατά των νομικών εταιρειών, οι οποίες ενδέχεται να αντιμετωπίσουν ασυνήθιστα αιτήματα από πελάτες.”
Για τον μετριασμό τέτοιων απειλών, συνιστάται στους οργανισμούς να εφαρμόζουν μια διαδικασία ελέγχου για δείγματα επιχειρηματικών συμφωνιών, να εκπαιδεύουν τους υπαλλήλους να ανοίγουν έγγραφα μόνο από αξιόπιστες πηγές και να διασφαλίζουν ότι το περιεχόμενο που λαμβάνεται ταιριάζει με το περιεχόμενο που πρόκειται να ληφθεί.
