Según el equipo de Respuesta a Incidentes de Cybereason, un "actor de amenazas agresivo" se dirige a los sectores de finanzas y atención médica con malware Gootloader y tácticas de envenenamiento de SEO . El nivel de amenaza debe considerarse grave, “dado el potencial de los ataques”.
“El actor de amenazas mostró comportamientos de rápido movimiento, dirigiéndose rápidamente a controlar la red que infectó y obteniendo privilegios elevados en menos de 4 horas”, escribieron los investigadores.
Cybereason investigó un incidente exitoso en diciembre que utilizó nuevas implementaciones de Gootloader, lo que reveló una serie de tácticas preocupantes, incluidas las técnicas de envenenamiento de SEO para atraer a las víctimas para que descarguen cargas maliciosas. Estos métodos se han utilizado en otros ataques recientes, destacando la posibilidad de una campaña en curso.
El análisis del ataque confirmó múltiples capas de ofuscación y la "existencia de múltiples bucles de JavaScript que hacen que la ejecución sea más larga, probablemente actuando como un mecanismo anti-sandbox".
Gootloader es una variante altamente evasiva que se disfraza con código JavaScript legítimo para esconderse de los mecanismos de seguridad tradicionales. Comenzando como un troyano en 2014, los actores hicieron la transición a un cargador de malware en 2021, agregando el nombre de Gootloader. Mandiant ha dado a los operadores el nombre UNC2565 , mientras que Sophos primero denominó a la variante "Gootloader".
“Los actores crean sitios web o llenan foros web o sitios web similares con palabras clave y enlaces específicos, lo que lleva a un sitio web que aloja el archivo infectado”, escribieron los investigadores. Como se señaló, los actores de amenazas aprovechan las tácticas de envenenamiento de SEO para llevar sus páginas infectadas a la parte superior de los resultados de búsqueda del navegador de Internet para que aparezcan como sitios legítimos.
“El envenenamiento de SEO y el abuso del servicio de Google, en general, se han documentado mucho recientemente, lo que indica que este vector de infección se está volviendo común para los actores de amenazas”, agregaron.
El equipo "observó la implementación de Gootloader a través de archivos JavaScript muy ofuscados con un tamaño de archivo de más de 40 megabytes", así como el uso de anuncios de motores de búsqueda falsos vinculados a la pieza de malware infectada.
Las infecciones siguen un flujo similar: engañar a un usuario para que descargue el malware usando las tácticas anteriores, provocando una descompresión del archivo ZIP que conduce a las cargas útiles de primera y segunda etapa, y conduce a un archivo masivo destinado a eliminar las herramientas de seguridad.
Los investigadores señalan que la mayoría de los dominios en el script de la segunda etapa de Gootloader PowerShell tenían un elemento en común: "/xmlrpc.php" se mostraba en relación con VirusTotal. Los actores detrás de la variante comúnmente usan sitios web de WordPress comprometidos para usarlos como servidores C2.
Después de una infección de Gootloader, el actor de amenazas usó "actividades prácticas con el teclado" que condujeron a una mayor implementación de marcos de ataque, Cobalt Strike y SystemBC, "un malware proxy que aprovecha SOCKS5 y se usa a menudo durante la fase de exfiltración de un ataque".
Los ataques también han utilizado el secuestro de DLL "sobre un ejecutable de VLC MediaPlayer". Estos marcos se utilizan tanto en la infección como en las etapas de movimiento lateral de los ataques.
Una infección exitosa le daría a un actor de amenazas la capacidad de controlar de forma remota el dispositivo de la víctima y recopilar información del sistema, antes de iniciar un "proceso de descubrimiento" para seleccionar los objetivos más interesantes. Gootloader también permite a los atacantes mantener la persistencia a través de tareas programadas, recopilar datos y mantener el control remoto.
Además, "el atacante tiene resiliencia sobre el C2 ya que 10 sitios web comprometidos diferentes están configurados para la carga útil de Gootloader analizada específica". El informe de Cybereason contiene una gran cantidad de IOC y detalles técnicos sobre las tácticas de Gootloader, que pueden respaldar tanto la detección como la remediación.
Dada la avalancha de ransomware dirigido y ataques DDoS en el cuidado de la salud, las organizaciones de proveedores deben estar en alerta máxima.