Cibercriminosos estão mirando em escritórios de advocacia com duas campanhas usando as famílias de malware GootLoader e FakeUpdates (também conhecido como SocGholish). Pesquisadores da eSentire frustraram 10 ataques cibernéticos direcionados a seis escritórios de advocacia diferentes ao longo de janeiro e fevereiro de 2023.
De acordo com os especialistas, em uma análise publicada nesta semana,
Os ataques emanaram de duas campanhas de ameaças separadas. Uma campanha tentou infectar funcionários de escritórios de advocacia com o malware GootLoader. A outra campanha atingiu funcionários de escritórios de advocacia e outras vítimas com o malware FakeUpdates.
Malwares GootLoader e FakeUpdates usados em ataques a escritórios de advocacia
O GootLoader é executado em um modelo de acesso como serviço e é usado por diferentes grupos para descartar cargas maliciosas adicionais nos sistemas comprometidos. Ele é conhecido por usar técnicas sem arquivo para entregar ameaças como SunCrypt e REvil ransomware, trojans Kronos e Cobalt Strike.
No passado, o GootLoader distribuía malware disfarçado de instalador de freeware e usava documentos legais para induzir os usuários a baixar esses arquivos. A cadeia de ataque começa com um usuário procurando informações específicas em um mecanismo de pesquisa. Os invasores usam a técnica de SEO preto para exibir um site comprometido pelos operadores do GootLoader entre os resultados. Ao visitar o site, a vítima notará que ele é apresentado como um fórum online respondendo diretamente à sua consulta. Este fórum hospedou um arquivo ZIP que contém o arquivo .js malicioso, que é usado para estabelecer persistência e soltar um binário do Cobalt Strike na memória do sistema infectado.
Na campanha bloqueada pelo eSentire, os agentes de ameaças comprometeram sites legítimos do WordPress e adicionaram novas postagens de blog sem o conhecimento de seus administradores.
Em outra campanha de ameaças observada em janeiro, os invasores tentaram infectar funcionários de escritórios de advocacia e outros profissionais de negócios com o malware FakeUpdates. Esse malware é uma estrutura JavaScript que atua como um carregador para outras campanhas de malware, mais comumente cargas úteis do Cobalt Strike.
Na campanha bloqueada pelos pesquisadores, os agentes de ameaças conduziram um ataque watering hole ao comprometer um site (site do notário público) frequentado por escritórios de advocacia para distribuir o malware.
Os ataques
A TRU observou que os ataques GootLoader em 2022 e os de janeiro e fevereiro não estão levando ao malware Ransomware, o que é curioso. A crescente ausência de Ransomware sendo implantado nesses ataques, mantendo o sucesso em infectar escritórios de advocacia e a disposição de se envolver em invasões práticas, sugere a possibilidade de que as operações do GootLoader tenham mudado para não apenas apoiar ataques motivados financeiramente, mas também apoiar operações politicamente motivadas e de espionagem cibernética.
Esta é a conclusão da análise dos esmpecialistas.