Pesquisadores descobriram que uma nova variante do malware GootLoader, chamada GootBot, facilita o movimento lateral em sistemas comprometidos e evita a detecção. Evitando a detecção a variante vai fazendo suas vítimas.
Nova variante de malware GootLoader
A introdução de seu próprio bot personalizado pelo grupo GootLoader nos estágios finais de sua cadeia de ataque é uma tentativa de evitar detecções ao usar ferramentas prontas para uso para C2, como CobaltStrike ou RDP.
Esta nova variante é um malware leve, mas eficaz, que permite que os invasores se espalhem rapidamente pela rede e implantem mais cargas úteis.
Pesquisadores do IBM X-Force, Golo Mühr e Ole Villadsen
GootLoader, como o nome indica, é um malware capaz de baixar malware de próximo estágio após atrair vítimas em potencial usando táticas de envenenamento de otimização de mecanismo de pesquisa (SEO). Está vinculado a um agente de ameaça rastreado como Hive0127 (também conhecido como UNC2565).
O uso do GootBot aponta para uma mudança tática, com o implante baixado como uma carga útil após uma infecção pelo Gootloader, em vez de estruturas pós-exploração, como o CobaltStrike.” Descrito como um script PowerShell ofuscado, o GootBot foi projetado para se conectar a um site WordPress comprometido para comando e controle e receber comandos adicionais. Para complicar ainda mais as coisas, está o uso de um servidor C2 codificado exclusivo para cada amostra GootBot depositada, dificultando o bloqueio de tráfego malicioso.
Notícias Relacionadas
Malware GitHub
Campanha inteligente abusa de repositórios GitHub para enviar malware
Uma nova campanha de ameaças inteligente abusa de repositórios do GitHub para distribuir o malware de roubo de senhas chamado Lumma Stealer. A campanha visa usuários que frequentam um repositório de projeto de código aberto ou que estão inscritos para receber notificações por e-mail dele. Malware Lumma Stealer sendo distribuído via repositórios GitHub Um usuário […]
Desenvolvedores Python
Desenvolvedores Python estão sendo hackeados via teste de codificação de gerenciador de senhas falso
Membros Lazarus Group estão se passando por recrutadores, hackeando desenvolvedores Python com projetos de teste de codificação para produtos de gerenciamento de senhas que incluem malware. Desenvolvedores Python hackeados Os ataques de malwares fazem parte da ‘campanha VMConnect’ detectada pela primeira vez em agosto de 2023 (Via: Bleeping Computer), onde os cibercriminosos visavam desenvolvedores de […]
As campanhas observadas atualmente aproveitam pesquisas envenenadas por SEO para temas como contratos, formulários jurídicos ou outros documentos relacionados a negócios, direcionando as vítimas para sites comprometidos, projetados para parecerem fóruns legítimos, onde são induzidos a baixar a carga inicial como um arquivo.
O arquivo incorpora um arquivo JavaScript ofuscado, que, após a execução, busca outro arquivo JavaScript que é acionado por meio de uma tarefa agendada para obter persistência. No segundo estágio, o JavaScript é projetado para executar um script do PowerShell para coletar informações do sistema e exfiltrá-las para um servidor remoto, que, por sua vez, responde com um script do PowerShell que é executado em um loop infinito e permite que o agente da ameaça distribua várias cargas úteis. .
Isso inclui o GootBot, que sinaliza para seu servidor C2 a cada 60 segundos para buscar tarefas do PowerShell para execução e transmitir os resultados da execução de volta ao servidor na forma de solicitações HTTP POST. Algumas das outras capacidades do GootBot vão desde o reconhecimento até a realização de movimentos laterais no ambiente, expandindo efetivamente a escala do ataque.
A descoberta da variante Gootbot destaca até onde os invasores irão para evitar a detecção e operar furtivamente”, disseram os pesquisadores. “Essa mudança nos TTPs e nas ferramentas aumenta o risco de estágios pós-exploração bem-sucedidos, como atividades de afiliados de ransomware vinculados ao GootLoader.
