Nova variante de malware GootLoader evita detecção e se espalha rapidamente

nova-variante-de-malware-gootloader-evita-deteccao-e-se-espalha-rapidamente

Pesquisadores descobriram que uma nova variante do malware GootLoader, chamada GootBot, facilita o movimento lateral em sistemas comprometidos e evita a detecção. Evitando a detecção a variante vai fazendo suas vítimas.

Nova variante de malware GootLoader

A introdução de seu próprio bot personalizado pelo grupo GootLoader nos estágios finais de sua cadeia de ataque é uma tentativa de evitar detecções ao usar ferramentas prontas para uso para C2, como CobaltStrike ou RDP.

Esta nova variante é um malware leve, mas eficaz, que permite que os invasores se espalhem rapidamente pela rede e implantem mais cargas úteis.

Pesquisadores do IBM X-Force, Golo Mühr e Ole Villadsen

GootLoader, como o nome indica, é um malware capaz de baixar malware de próximo estágio após atrair vítimas em potencial usando táticas de envenenamento de otimização de mecanismo de pesquisa (SEO). Está vinculado a um agente de ameaça rastreado como Hive0127 (também conhecido como UNC2565).

O uso do GootBot aponta para uma mudança tática, com o implante baixado como uma carga útil após uma infecção pelo Gootloader, em vez de estruturas pós-exploração, como o CobaltStrike.” Descrito como um script PowerShell ofuscado, o GootBot foi projetado para se conectar a um site WordPress comprometido para comando e controle e receber comandos adicionais. Para complicar ainda mais as coisas, está o uso de um servidor C2 codificado exclusivo para cada amostra GootBot depositada, dificultando o bloqueio de tráfego malicioso.

nova-variante-de-malware-gootloader-evita-deteccao-e-se-espalha-rapidamente

As campanhas observadas atualmente aproveitam pesquisas envenenadas por SEO para temas como contratos, formulários jurídicos ou outros documentos relacionados a negócios, direcionando as vítimas para sites comprometidos, projetados para parecerem fóruns legítimos, onde são induzidos a baixar a carga inicial como um arquivo.

O arquivo incorpora um arquivo JavaScript ofuscado, que, após a execução, busca outro arquivo JavaScript que é acionado por meio de uma tarefa agendada para obter persistência. No segundo estágio, o JavaScript é projetado para executar um script do PowerShell para coletar informações do sistema e exfiltrá-las para um servidor remoto, que, por sua vez, responde com um script do PowerShell que é executado em um loop infinito e permite que o agente da ameaça distribua várias cargas úteis. .

Isso inclui o GootBot, que sinaliza para seu servidor C2 a cada 60 segundos para buscar tarefas do PowerShell para execução e transmitir os resultados da execução de volta ao servidor na forma de solicitações HTTP POST. Algumas das outras capacidades do GootBot vão desde o reconhecimento até a realização de movimentos laterais no ambiente, expandindo efetivamente a escala do ataque.

A descoberta da variante Gootbot destaca até onde os invasores irão para evitar a detecção e operar furtivamente”, disseram os pesquisadores. “Essa mudança nos TTPs e nas ferramentas aumenta o risco de estágios pós-exploração bem-sucedidos, como atividades de afiliados de ransomware vinculados ao GootLoader.

Via: TheHackerNews