По данным экспертов Microsoft и Sophos, инфостилер Gootkit превратился в сложный и скрытный фреймворк, который теперь носит название Gootloader. Вредонос распространяет широкий спектр малвари через взломанные сайты под управлением WordPress, злоупотребляя методами так называемого черного SEO.
Отмечается, что увеличилось не только количество полезных нагрузок: Gootloader распределяет пейлоады по нескольким регионам и сотням взломанных серверов, которые всегда активны. По данным исследователей, в настоящее время Gootloader контролирует около 400 серверов, на которых размещены взломанные легитимные сайты.
Еще в прошлом году специалисты впервые заметили вредоносные кампании, основанные на механизме Gootloader. Тогда они отвечали за доставку вымогателя REvil и в основном атаковали цели в Германии. Это ознаменовало своеобразный новый старт для Gootkit, так как до этого малварь была неактивна после утечки данных, которую ее операторы допустили в 2019 году.
Теперь хакеры перегруппировались, построили обширную сеть из взломанных сайтов на базе WordPress и стали использовать разные приемы SEO, чтобы показывать в Google поддельные форумы с вредоносными ссылками.
Такие поддельные форумы видны только пользователям из определенных регионов. Эти «обсуждения» якобы содержат ответ на конкретный запрос пользователя. Причем сообщение с ответом публикуется от имени администратора сайта, и в нем присутствует вредоносная ссылка. Чтобы показывать потенциальным жертвам такие фальшивые обсуждения, хакеры модифицируют CMS взломанных ресурсов.
На примере ниже видно, как фальшивое сообщение на форуме дает ответ на конкретный поисковый запрос, связанный с операциями с недвижимостью. Причем это «обсуждение» происходит на сайте о неонатальной медицине, который не имеет ничего общего с искомой темой, «однако, это первый результат, который появляется при запросе определенного типа соглашения о недвижимости», — говорят эксперты.
При нажатии на такую ссылку с «форума» посетитель получает ZIP-архив с файлом JavaScript, который запускает процесс заражения. Отмечается, что это единственный этап, на котором файл записывается на диск, все остальные операции малварь производит в памяти, поэтому многие инструменты безопасности бесполезны против Gootloader.
Сообщается, что теперь, помимо стандартной полезной нагрузки (вымогателей Gootkit и REvil), Gootloader также может распространять троян Kronos и Cobalt Strike. Такие атаки нацелены на посетителей из США, Германии и Южной Кореи.
Пока неясно, как именно операторы малвари получают доступ к сайтам, на которых потом размещают фальшивые форумы. Исследователи подозревают, что злоумышленники могли получить учетные данные этих ресурсов благодаря установкам Gootkit, купив их на черном рынке, или воспользовавшись известными багами в плагинах для CMS.
«Разработчики Gootkit, похоже, перенаправили свои ресурсы и энергию с доставки собственного вредоносного ПО на создание скрытной и сложной платформы для доставки любых видов пейлоадов, включая шифровальщика REvil.
Это показывает, что преступники, как правило, повторно используют уже проверенные решения, а не разрабатывают новые механизмы доставки. Кроме того, вместо использования агрессивных атакующих инструментов, как это делают некоторые распространители малвари, авторы Gootloader выбрали извилистый путь сложных техник уклонения, которые помогают скрыть конечный результат», — заключают эксперты Sophos.