Система доставки для кражи информации Gootkit превратилась в сложную и скрытую структуру, которая получила название Gootloader, и теперь распространяет более широкий спектр вредоносных программ через взломанные сайты WordPress и вредоносные методы SEO для результатов Google.
Помимо увеличения количества полезных нагрузок, Gootloader распределяет их по нескольким регионам с сотен взломанных серверов, которые всегда активны.
Поддельные форумы запускают поток вредоносных программ
В прошлом году были замечены кампании вредоносного ПО, основанные на механизме Gootloader, с доставкой вымогателя REvil целям в Германии. . Это мероприятие ознаменовало перезапуск операций Gootkit, которые после утечки данных в конце 2019 года сделали длительный перерыв.Актеры перегруппировались, сформировав обширную сеть взломанных сайтов WordPress и используя SEO-отравление, чтобы показывать в сообщениях на форуме Google поддельные форумы с вредоносными ссылками.
Поддельные доски объявлений видны только посетителям из определенных регионов и представляют им «обсуждение», которое якобы содержит ответ на их запрос в сообщении от «администратора сайта», который публикует ссылку на вредоносный файл.
Согласно сегодняшнему отчету компании Sophos, занимающейся кибербезопасностью, Gootloader контролирует около 400 активных в любой момент серверов, на которых размещены взломанные законные веб-сайты.
Исследователи говорят, что злоумышленник модифицировал систему управления контентом (CMS) взломанных веб-сайтов, чтобы показывать фальшивые доски объявлений посетителям из определенных мест.
В примере взломанного сайта, который является частью инфраструктуры Gootloader, фальшивое сообщение на форуме дает ответ на очень конкретный поисковый запрос, связанный с операциями с недвижимостью.
источник: SophosТем не менее, результатом является сайт, посвященный неонатальной медицине, который не имеет ничего общего с искомой темой, «но это первый результат, который появляется в запросе по очень узко определенному типу договора о недвижимости».
Помимо стандартной полезной нагрузки, вымогателей Gootkit и REvil, Gootloader также может поставлять троян Kronos и инструментарий для эмуляции угроз Cobalt Strike.
Согласно Sophos, кампании Gootloader нацелены на посетителей из США, Германии и Южной Кореи. Еще одна страна, на которую ранее были нацелены, - Франция.
При нажатии на ссылку посетитель попадает в ZIP-архив файла JavaScript, который действует как начальный вирус. Sophos отмечает, что это единственный этап, на котором файл записывается на диск, а все остальные вредоносные программы размещаются в системной памяти, поэтому традиционные инструменты безопасности не могут его обнаружить.
Все сообщения на форуме выглядят одинаково, независимо от их языка. Если посетитель не соответствует целевому профилю, он видит фальшивую страницу с текстом, который вначале выглядит нормально, но к концу превращается в неразборчивую блузку.
Извилины и повороты инфекционной цепочки
Первоначальная полезная нагрузка JavaScript дважды обфусцируется, чтобы избежать обнаружения традиционными антивирусными решениями. Он также включает два уровня шифрования строк и больших двоичных объектов данных, которые относятся к следующему этапу атаки, являющемуся единственной целью вредоносного кода.Если переход ко второму этапу успешен, сервер управления и контроля Gootloader (C2) предоставляет строку числовых значений, представляющих символы ASCII, которые загружаются в системную память.
«Этот этап содержит большой блок данных, который сначала декодирует из своего числового значения в текст, а затем записывает непосредственно в серию ключей в реестре Windows в кусте HKCU \ Software» - Sophos
Тот же метод использовался в прошлом году Malwarebytes, когда исследователи проанализировали доставку вымогателя REvil немецким целям через платформу доставки Gootkit.
источник: Sophos
На следующем шаге для сценария PowerShell создается запись автозапуска, которая загружается при каждой перезагрузке системы. Его цель - декодировать содержимое, записанное ранее в разделах реестра. В конечном итоге это заканчивается загрузкой окончательной полезной нагрузки, которая может быть Gootkit, REvil, Kronos или Cobalt Strike.
Sophos сообщает, что последние образцы Gootloader используют реестр для хранения двух полезных данных, небольшого исполняемого файла C #, который отвечает за извлечение второго исполняемого файла из данных, хранящихся в реестре Windows.
Этот второй исполняемый файл представляет собой конечную полезную нагрузку Gootloaders, промежуточный инжектор dotNET, который развертывает вредоносное ПО на основе Delphi, используя технику обработки пустот.
Sophos обнаружил, что для этого процесса использовались как минимум два законных приложения: системный компонент ImagingDevices.exe, доступный в Windows, и внешний диспетчер переводов Embarcadero.
источник: Sophos
Это вредоносное ПО Delphi является последним звеном в цепочке заражения, поскольку оно включает зашифрованную копию REvil, Gootkit, Cobalt Strike или Kronos. Он расшифровывает полезную нагрузку, которую несет, и выполняет ее в памяти.
Все эти изгибы и повороты на каждом этапе атаки дают злоумышленнику время для проведения своих кампаний, поскольку аналитики вредоносных программ могут потратить много времени на понимание каждого шага в цепочке заражения.
Кроме того, Sophos сообщает, что существует несколько вариантов методов доставки, которые включают дополнительные сценарии PowerShell, модули Cobalt Strike или исполняемые файлы инжектора кода.
Исследователи говорят, что использование блокировщиков скриптов может удержать пользователей от этой угрозы, поскольку они могут предотвратить замену взломанной страницы. Однако это решение популярно среди небольшого числа пользователей, и все еще остается большой пул потенциальных жертв.
Sophos опубликовал технический анализ цепочки заражения Gootloader и разместил на своей странице GitHub индикаторы взлома и правило Yara для своих вредоносных файлов JavaScript.
Перевод - Google
Bleeping Computer