O malware conhecido como GootLoader continua em uso ativo por agentes de ameaças que buscam entregar cargas adicionais a hosts comprometidos.
“Atualizações na carga útil do GootLoader resultaram em várias versões do GootLoader, com o GootLoader 3 atualmente em uso ativo”, disse a empresa de segurança cibernética Cybereason em uma análise publicada na semana passada.
“Embora alguns detalhes das cargas úteis do GootLoader tenham mudado ao longo do tempo, as estratégias de infecção e a funcionalidade geral permanecem semelhantes ao ressurgimento do malware em 2020.”
GootLoader, um carregador de malware que faz parte do trojan bancário Gootkit, está vinculado a um agente de ameaça chamado Hive0127 (também conhecido como UNC2565). Ele abusa do JavaScript para baixar ferramentas de pós-exploração e é distribuído por meio de táticas de envenenamento de otimização de mecanismos de busca (search engine optimisation).
Ele normalmente serve como um canal para entregar várias cargas úteis, como Cobalt Strike, Gootkit, IcedID, Kronos, REvil e SystemBC.
Nos últimos meses, os agentes de ameaças por trás do GootLoader também lançaram sua própria ferramenta de comando e controle (C2) e movimento lateral chamada GootBot, indicando que o “grupo está expandindo seu mercado para ganhar um público maior para seus ganhos financeiros”.
As cadeias de ataque envolvem comprometer websites para hospedar a carga útil do JavaScript do GootLoader, passando-a como documentos e acordos legais, que, quando iniciados, configuram a persistência usando uma tarefa agendada e executam JavaScript adicional para iniciar um script do PowerShell para coletar informações do sistema e aguardar instruções adicionais.
“Websites que hospedam esses arquivos compactados aproveitam técnicas de envenenamento de otimização de mecanismos de busca (search engine optimisation) para atrair vítimas que estão procurando por arquivos relacionados a negócios, como modelos de contratos ou documentos legais”, disseram os pesquisadores de segurança Ralph Villanueva, Kotaro Ogino e Gal Romano.
Os ataques também são notáveis por fazer uso de codificação de código-fonte, ofuscação de fluxo de controle e inflação de tamanho de payload para resistir à análise e detecção. Outra técnica envolve incorporar o malware em arquivos de biblioteca JavaScript legítimos, como jQuery, Lodash, Maplace.js e tui-chart.
“O GootLoader recebeu diversas atualizações durante seu ciclo de vida, incluindo mudanças nas funcionalidades de evasão e execução”, concluíram os pesquisadores.
