05 de julio de 2024Sala de prensaEnvenenamiento SEO / Ciberataque, El malware conocido como GootLoader sigue siendo utilizado activamente por actores de amenazas que buscan entregar cargas útiles adicionales a los hosts comprometidos. «Las actualizaciones de la carga útil de GootLoader han dado como resultado varias versiones de GootLoader, y GootLoader 3 actualmente está en uso activo», dijo la firma de ciberseguridad Cybereason en un análisis publicado la semana pasada. «Si bien algunos de los detalles de las cargas útiles de GootLoader han cambiado con el tiempo, las estrategias de infección y la funcionalidad general siguen siendo similares al resurgimiento del malware en 2020». GootLoader, un cargador de malware que forma parte del troyano bancario Gootkit, está vinculado a un actor de amenazas llamado Hive0127 (también conocido como UNC2565). Abusa de JavaScript para descargar herramientas posteriores a la explotación y se distribuye a través de tácticas de envenenamiento de optimización de motores de búsqueda (SEO). Por lo general, sirve como conducto para entregar varias cargas útiles como Cobalt Strike, Gootkit, IcedID, Kronos, REvil y SystemBC. En los últimos meses, los actores de amenazas detrás de GootLoader también han lanzado su propia herramienta de comando y control (C2) y movimiento lateral denominada GootBot, lo que indica que el «grupo está expandiendo su mercado para ganar una audiencia más amplia para sus ganancias financieras». Las cadenas de ataque implican comprometer sitios web para alojar la carga útil JavaScript de GootLoader haciéndola pasar por documentos y acuerdos legales, que, cuando se lanza, configura la persistencia utilizando una tarea programada y ejecuta JavaScript adicional para iniciar un script de PowerShell para recopilar información del sistema y esperar más instrucciones. «Los sitios que alojan estos archivos de almacenamiento aprovechan las técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para atraer a las víctimas que buscan archivos relacionados con la empresa, como plantillas de contratos o documentos legales», dijeron los investigadores de seguridad Ralph Villanueva, Kotaro Ogino y Gal Romano. Los ataques también se caracterizan por utilizar la codificación del código fuente, la ofuscación del flujo de control y la inflación del tamaño de la carga útil para resistir el análisis y la detección. Otra técnica consiste en incrustar el malware en archivos legítimos de bibliotecas JavaScript como jQuery, Lodash, Maplace.js y tui-chart. «GootLoader ha recibido varias actualizaciones durante su ciclo de vida, incluidos cambios en las funcionalidades de evasión y ejecución», concluyeron los investigadores. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.