I ricercatori di Sophos hanno identificato una nuova variante di Gootkit in grado di utilizzare le ricerche eseguite su Google per infettare i computer degli utenti. Il suo nome è Gootloader, framework di infezione basato su Javascript per Gootkit RAT che fornisce sempre di più un’ampia varietà di malware, inclusi payload ransomware, fileless. Oltre ai payload REvil e Gootkit, Gootloader è stato utilizzato di recente per fornire il trojan Kronos e Cobalt Strike.
«Nei suoi ultimi tentativi di eludere il rilevamento da parte degli strumenti di sicurezza degli endpoint, Gootloader ha trasferito la maggior parte della sua infrastruttura di infezione verso una metodologia a “fileless”. Sebbene non sia completamente a fileless, queste tecniche sono efficaci per eludere il rilevamento su una rete, fino al punto in cui l’attività dannosa si imbatte sulle regole di rilevamento comportamentale.
Gootloader utilizza tecniche di ottimizzazione dei search engines (SEO) dannose per entrare nei risultati di ricerca di Google», si legge nella comunicazione di Sophos.
Ciò che differenzia questo nuovo malware da tipologie simili è il suo canale di rilascio. Secondo gli esperti, il gruppo del cybercrime dietro a Gootloader gestirebbe una vera e propria rete di siti web infetti in grado di infettare chiunque vi faccia visita. Gli aggressori convogliano i visitatori su questi siti web infetti attraverso post di contenuti rispondenti a domande molto specifiche. Proprio questa ottimizzazione dal lato SEO consente a questi siti di comparire fra le prime posizioni nei risultati di ricerca offerti da Google. Naturalmente l’utente deve aver formulato la specifica domanda, la cui risposta è contenuta nel suddetto sito, ma, tuttavia, la domanda spesso non riguarda l’argomento attinente al dominio del sito infetto.
Catena d’infezione
L’esempio rilevato dai ricercatori riguarda un sito di uno studio pediatrico in Canada che fornirebbe la risposta a un quesito di natura immobiliare. Si presume che i siti oggetto degli hacker siano stati scelti per la buona reputazione su Google, dando loro così ottime chance di piazzarsi in alto in presenza di un quesito attinente alla risposta offerta. Una volta che l’utente clicca sul link di Google per ottenere la risposta alla sua domanda, gli viene mostrata quella che sembra apparentemente la pagina di un forum, che presenta poi un link di download a un documento che dovrebbe contenere la risposta. Cliccando sul link si inizializza il download di un file .zip che porta il nome della domanda originale allo scopo di apparire all’utente come contenuto affidabile. Il file zippato contiene in realtà un file JavaScript che inizia a infettare il computer.
Causa ed effetto
«Un criminale, alla fine, sta solo cercando di guadagnare pochi minuti o ore di tempo rimanendo inosservato per consentire all’attacco di procedere senza interferenze da parte del software di protezione degli endpoint. Invece di attaccare attivamente gli strumenti degli endpoint, come fanno alcuni distributori di malware, i creatori di Gootloader hanno scambiato l’approccio più aggressivo con una tecnica più vicina a una massiccia configurazione di domino che nascondono il risultato finale.
In diversi punti, è possibile per gli utenti finali evitare l’infezione, se riconoscono i segnali. Il problema è che anche le persone più esperte possono essere facilmente ingannate dalla catena di trucchi di ingegneria sociale utilizzati dai creatori di Gootloader. Gli script blocker come NoScript per Firefox potrebbero aiutare un navigatore web prudente a rimanere al sicuro impedendo che avvenga la sostituzione iniziale della pagina web compromessa, ma non tutti utilizzano questi strumenti (o li trovano convenienti o addirittura intuitivi). Anche gli utenti attenti che sono consapevoli del trucco che coinvolge la falsa pagina del forum potrebbero non riconoscerlo fino a quando non sarà troppo tardi.
Alla fine, spetta ai search engines, per affrontare il vettore di attacco iniziale, individuando l’algoritmo utilizzato dal malware per ottenere un risultato elevato di ricerca. Gli utenti possono essere imparare a fare cose come abilitare i suffissi di file visibili in Windows, in modo che possano vedere che stanno facendo clic su un file con estensione .js, ma non possono scegliere quali risultati della ricerca vengono visualizzati nella parte superiore dell’elenco o come i siti vengono manipolati dagli autori delle minacce».
https://news.sophos.com/en-us/2021/03/01/gootloader-expands-its-payload-delivery-options/