O malware Gootloader tem por trás toda uma equipe apelidada de UNC2565. Eles atualizaram que atualizaram o código de maneiras inteligentes para torná-lo mais intrusivo e difícil de encontrar. Assim, essa equipe de cibercriminosos renovou o malware Gootloader que foi atualizado com PowerShell e JavaScript.
Pesquisadores da loja de segurança Mandiant, de propriedade do Google, começaram a ver mudanças significativas no pacote de malware Gootloader – que também era conhecido como Gootkit – em novembro de 2022, incluindo o uso de várias variações do FONELAUNCH, um carregador baseado em .NET, bem como algumas cargas úteis e ofuscação recém-desenvolvidas técnicas. Também há mudanças em sua cadeia de infecção, incluindo uma nova variante chamada Gootloader.PowerShell.
“Essas mudanças são ilustrativas do desenvolvimento ativo do crescimento das capacidades do UNC2565”, os pesquisadores escreveram em um relatório, onde acrescentava que o grupo é o único conhecido por usar o malware.
Uma infecção Gootloader começa por meio de um ataque de envenenamento de otimização de mecanismo de busca (SEO), a partír de uma vítima que está pesquisando online por documentos relacionados a negócios, como modelos, acordos ou contratos, sendo induzida a acessar um site comprometido pela gangue criminosa.
No site, há documentos que, na verdade, são arquivos ZIP maliciosos que contêm malware escrito em JavaScript. Depois que o arquivo é aberto e o malware ativado, mais cargas úteis como Cobalt Strike, FONELAUNCH e SNOWCONE são adicionadas, bem como outra coleção de downloaders com cargas úteis, incluindo o trojan bancário IcedID de alto perfil.
Três meses atrás, os pesquisadores da Mandiant começaram a ver a variante Gootloader.PowerShell, que inclui uma cadeia de infecção que grava um segundo arquivo JavaScript no disco do sistema que atinge 10 URLs codificados, com cada solicitação contendo dados codificados sobre o sistema comprometido , como as versões do Windows que está usando, processos em execução e nomes de arquivos.
Este não está parando
O Gootloader nos meses desde maio de 2021 usou três variantes de FONELAUNCH – FONELAUNCH.FAX, FONELAUNCH.PHONE e FONELAUNCH.DIALTONE.
“A evolução das variantes do FONELAUNCH ao longo do tempo permitiu que o UNC2565 distribuísse e executasse uma ampla variedade de cargas úteis, incluindo DLLs, binários .NET e arquivos PE”, escreveram os pesquisadores da Mandiant.
O UNC2565 também aumentou os esforços para tornar o Gootloader mais difícil de detectar e rastrear, expandindo o número de variantes de ofuscação para três, outra indicação da evolução contínua da ameaça cibernética. O primeiro apareceu em maio de 2021 como um pequeno arquivo JavaScript com um único bloco ofuscado de código.
Um segundo apareceu em outubro de 2021 dentro de bibliotecas jQuery trojanizadas, ao invés de sair por conta própria, foi feita uma provável tentativa de evitar a detecção e retardar qualquer análise do malware, escreveram os pesquisadores. Ele se esconde entre mais de 10.000 linhas de código, de acordo com a Mandiant.
Novos exemplos de Gootloader com pequenas variações no código de ofuscação surgiram em agosto de 2022, estendendo as variáveis ??de string ofuscadas em todo o arquivo – as variantes anteriores as têm todas na mesma linha – e dentro de um arquivo JavaScript jit.js trojanizado em vez de jQuery. A terceira variante de ofuscação – vista em Gootloader.PowerShell – é uma infecção modificada e mais complexa.
Esta nova variante contém variáveis ??de string adicionais que são usadas em um segundo estágio de desofuscação”, escreveram os pesquisadores. “Esta nova variante foi observada trojanizando várias bibliotecas JavaScript legítimas, incluindo jQuery, Chroma.js e Underscore.js.
O relatório da Mandiant segue um divulgado no início deste mês pela Trend Micro, que disse que o Gootloader estava sendo usado em uma série de ataques a organizações do setor de saúde da Austrália. Os analistas descobriram que o grupo de ameaças continuava com a técnica de envenenamento de SEO para acesso inicial, mas logo depois abusava do VLC Media Player e de outras ferramentas legítimas para continuar a infecção.
As ameaças direcionadas a setores de trabalho, indústrias e áreas geográficas específicas estão se tornando mais agressivas”, escreveu a equipe da Trend. “Além da segmentação contínua do setor jurídico com a [palavra-chave] ‘acordo’ [no esforço de envenenamento de SEO], também descobrimos que a operação atual também aprimorou claramente sua capacidade de segmentação, incluindo as palavras ‘hospital’, ‘ saúde’, ‘médico’ e nomes de cidades australianas.
