После годичного отпуска троян Gootkit, ворующий информацию, вернулся к жизни вместе с REvil Ransomware в новой кампании, нацеленной на Германию.
Троянец Gootkit - это вредоносное ПО на основе Javascript, которое выполняет различные вредоносные действия, включая удаленный доступ для злоумышленников, захват нажатия клавиш, запись видео, кражу электронной почты, кражу пароля и возможность внедрять вредоносные сценарии для кражи учетных данных онлайн-банкинга.
В прошлом году злоумышленники Gootkit пострадали от утечки данных после того, как оставили базу данных MongoDB открытой в Интернете. После этого нарушения считалось, что актеры Gootkit прекратили свою деятельность, пока они внезапно не ожили в начале этого месяца.
Gootkit возвращается к жизни благодаря партнерству с программами-вымогателями
На прошлой неделе исследователь безопасности, известный как The Analyst, сообщил BleepingComputer, что вредоносное ПО Gootkit снова появилось в ходе атак, направленных на Германию.В этой новой вредоносной кампании злоумышленники взламывают сайты WordPress и используют отравление SEO, чтобы показывать посетителям фальшивые сообщения на форуме. Эти сообщения выдают себя за вопросы и ответы со ссылкой на поддельные формы или загрузки.
Поддельный пост на форуме показан в кампании Gootkit
Когда пользователь нажимает на ссылку, он загружает ZIP-файл, содержащий обфусцированный JS-файл, который устанавливает либо вредоносную программу Gootkit, либо программу-вымогатель REvil.
Обфусцированный JS-скрипт
Этот же метод распространения ранее использовался REvil в сентябре 2019 года, примерно в то же время, когда исчез Gootkit.
Gootkit и REvil установлены в бесфайловых атаках
В новом отчете, опубликованном сегодня, исследователи Malwarebytes объясняют, что вредоносные полезные нагрузки JavaScript будут выполнять безфайловые атаки Gootkit или REvil.При запуске сценарий JavaScript подключается к своему серверу управления и контроля и загружает другой сценарий, содержащий полезные данные вредоносной вредоносной программы.
Согласно анализу Malwarebytes, этой полезной нагрузкой обычно является Gootkit, но в некоторых случаях это также была программа-вымогатель REvil.
"После преобразования в ASCII открывается следующий код JavaScript, и код выполняется. Этот код JavaScript поставляется со встроенной полезной нагрузкой PE, которая может быть либо загрузчиком для Gootkit, либо для программы-вымогателя REvil. Существуют также некоторые различия в используемом алгоритме чтобы деобфускировать его », - говорится в сообщении Malwarebytes .
Эти полезные данные будут храниться как строки в кодировке Base64 или шестнадцатеричные числа в текстовом файле или разделены на многочисленные значения реестра Windows, как показано ниже.
Полезные данные, хранящиеся в реестре Windows.
Источник: Malwarebytes.
В конечном итоге загрузчик прочитает полезные данные реестра или текстового файла, расшифрует их и безфайлово запустит процесс прямо в память.
Использование обфусцированных полезных данных и их разбиение на части, хранящиеся в реестре, затрудняет обнаружение вредоносных полезных данных программным обеспечением безопасности.
"Злоумышленники, стоящие за этой кампанией, используют очень умный загрузчик, который выполняет ряд шагов, чтобы избежать обнаружения. Учитывая, что полезная нагрузка хранится в реестре под ключом с произвольным названием, многие продукты безопасности не смогут обнаруживать и удалять это ", - поясняет Malwarebytes.
При тестировании этой вредоносной кампании аналитик обнаружил интересное открытие: в результате заражения Revil были сброшены записки с выкупом, использованные в предыдущих атаках.
Перевод с английского - Google
