Malware Loader abusa de Google SEO para expandir la entrega de carga útil - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Malware Loader abusa de Google SEO para expandir la entrega de carga útil

Hola, un placer verte por aquí. En el teclado Eduardo Arroyo y hoy te voy a hablar sobre Malware Loader abusa de Google SEO para expandir la entrega de carga útil

Malware Loader abusa de Google SEO para expandir la entrega de carga útil

Gootloader ha expandido sus cargas útiles más allá de la familia de malware Gootkit, utilizando el envenenamiento de SEO de Google para ganar tracción.

El cargador de malware Gootloader, utilizado anteriormente para distribuir la familia de malware Gootkit, ha experimentado lo que los investigadores llaman un «resurgimiento» en lo que respecta a la distribución de carga útil.

Una nueva investigación publicada esta semana describe a Gootloader como un marco de carga cada vez más sofisticado, que ahora ha ampliado la cantidad de cargas útiles que ofrece más allá de Gootkit (y, en algunos casos, el ransomware REvil distribuido anteriormente), para incluir el troyano y el producto Kronos. El malware Cobalt Strike .

Gootloader es conocido por su proceso de ataque de varios pasos, tácticas de ofuscación y por usar tácticas de entrega de malware conocidas llamadas envenenamiento por optimización de motores de búsqueda (SEO). Esta técnica explota términos compatibles con SEO en sitios web controlados por atacantes para clasificarlos más alto en el índice de búsqueda de Google. Con el tiempo, el método atrae más miradas hacia los sitios maliciosos, que contienen enlaces que inician la cadena de ataques de Gootloader.

«El método de distribución de malware iniciado por los creadores de amenazas detrás del ransomware REvil y el troyano bancario Gootkit ha experimentado un resurgimiento en los últimos tiempos, ya que la telemetría indica que los delincuentes están utilizando el método para distribuir una serie de cargas útiles de malware en Corea del Sur, Alemania, Francia y en toda América del Norte «, dijeron Gabor Szappanos y Andrew Brandt, investigadores de seguridad de Sophos Labs el lunes.

Gootloader es un marco de infección basado en Javascript que se ha utilizado tradicionalmente para el troyano de acceso remoto Gootkit (RAT). La familia de malware Gootkit, que existe desde hace más de cinco años, ha evolucionado con el tiempo hasta convertirse en un troyano maduro cuyo objetivo principal es robar credenciales bancarias.

Aunque Gootloader se utilizaba anteriormente como un vehículo para simplemente distribuir malware Gootkit, «en los últimos años, se han hecho esfuerzos para mejorar su método de distribución casi tanto como el propio malware basado en NodeJS», dijeron los investigadores.

Además de su uso de envenenamiento de SEO, lo que distingue a Gootloader son sus tácticas de entrega de malware sin archivos, dijeron. El malware sin archivos utiliza procesos confiables y legítimos (en el caso de Gootloader, PowerShell, por ejemplo) que permiten que el mecanismo de distribución de malware eluda los productos antivirus.

Para realizar el envenenamiento de SEO, los atacantes de Gootloader primero comprometieron una amplia variedad de sitios web legítimos, que mantienen en una red de alrededor de 400 servidores, dijeron los investigadores.

Un ejemplo de un ataque de Gootloader. Crédito: Sophos Labs

Los investigadores dijeron que los operadores de estos sitios web legítimos y comprometidos no parecen saber que sus sitios web están siendo abusados ​​de esta manera.

«No está claro cómo los atacantes obtienen acceso al backend de estos sitios, pero históricamente, este tipo de compromiso del sitio web puede ser el resultado de varios métodos: los atacantes pueden simplemente obtener las contraseñas de los sitios del propio malware Gootkit, o de cualquiera de los numerosos mercados criminales que comercian con credenciales robadas, o mediante la explotación de una serie de vulnerabilidades de seguridad en complementos o complementos de software CMS «, dijeron.

Los sitios web comprometidos por un atacante de Gootloader luego modifican los sistemas de gestión de contenido de los sitios web para utilizar tácticas y términos clave de SEO. El objetivo aquí es aparecer en la parte superior del índice de Google cuando se escriben ciertas preguntas en la búsqueda de Google.

Por ejemplo, escribiendo la pregunta «¿Necesito un contrato de las partes para vender mi casa?» presenta un sitio web legítimo para el consultorio de un médico neonatal con sede en Canadá, que en realidad fue pirateado por atacantes de Gootloader.

La parte del sitio web que fue comprometida por los atacantes presenta un «tablero de mensajes» con un «usuario» que hace la pregunta «¿Necesito un acuerdo entre las partes para vender mi casa?» Esto utiliza exactamente la misma redacción de la consulta de búsqueda, como una forma de clasificar más alto en el índice de búsqueda de Google, incluso si no tiene nada que ver con el contenido real del sitio web comprometido.

Un ejemplo de un ataque de Gootloader. Crédito: Sophos Labs

En ese «panel», un «perfil de administrador» responde a la pregunta con un enlace que dice tener más información.

«Ninguno de los contenidos legítimos en el sitio tiene nada que ver con transacciones de bienes raíces – sus médicos dan a luz bebés – sin embargo, es el primer resultado que aparece en una consulta sobre un tipo bien definido de contrato de bienes raíces», dijeron los investigadores. «Google mismo indica que el resultado no es un anuncio y conocen el sitio desde hace casi siete años. Para el usuario final, todo tiene un lado positivo».

Threatpost se comunicó con Google para obtener más información sobre cómo la compañía está luchando contra este tipo de ataques de envenenamiento de SEO.

El mecanismo de entrega de carga útil de Gootloader es complejo e involucra múltiples etapas.

Inicialmente, cuando el usuario del sitio web hace clic en el enlace de la cuenta «admin» en el sitio web comprometido, recibe un archivo ZIP con un nombre de archivo (de nuevo que coincide con los términos de la consulta de búsqueda utilizados en la búsqueda inicial). Este archivo luego contiene otro archivo JS (con el mismo nombre). Los archivos con la extensión JS implican un archivo de texto que contiene código JavaScript, que se utiliza para ejecutar instrucciones JavaScript en páginas web; los archivos JS específicos de este ataque suelen invocar el host de secuencias de comandos de Windows (wscript.exe) cuando se ejecutan.

«Este archivo .js es la infección inicial y la única etapa de la infección en la que se escribe un archivo en el sistema de archivos», dijeron los investigadores. «Todo lo que sucede después de que el destino hace doble clic en este script se ejecuta completamente en la memoria, fuera del alcance de las herramientas tradicionales de protección de endpoints».

La secuencia de comandos de la primera etapa, que está ofuscada, intenta ponerse en contacto con el servidor de comando y control (C2); si lo hace correctamente, el proceso de malware de la segunda etapa crea una entrada de ejecución automática para una secuencia de comandos de PowerShell que no funciona. No se ejecuta hasta que se reinicia el sistema, lo que crea una forma sigilosa para que los atacantes eviten la detección.

«Debido a que este siguiente paso no se realiza por completo hasta el siguiente reinicio de la computadora, es posible que el objetivo no descubra la infección hasta unas horas o incluso días después, cada vez que reinicia completamente Windows», dijeron los investigadores.

Una vez que la computadora se reinicia, el script de PowerShell se ejecuta y comienza una secuencia de eventos similar a un dominó, que termina con Gootloader intentando descargar su carga útil final.

«El cargador Delphi contiene la carga útil final (Kronos, REvil, Gootkit o Cobalt Strike) en forma cifrada», dijeron los investigadores. «En estos casos, el cargador descifra la carga útil y luego usa su propio cargador PE para ejecutar la carga útil en la memoria».

El abuso de SEO para ganar más atención y atraer a sitios maliciosos es un truco centenario para los ciberdelincuentes, con ejemplos de este tipo de táctica que se remontan al menos a 2011. En 2017, los ciberdelincuentes envenenaron los resultados de búsqueda de Google con la esperanza de infectar a los usuarios con un Troyano bancario llamado Zeus Panda, por ejemplo.

Este tipo de ataques continúan porque funcionan, dijeron los investigadores.

«Los bloqueadores de scripts como NoScript para Firefox podrían ayudar a un navegador web prudente a mantenerse seguro al evitar que ocurra el reemplazo inicial de la página web comprometida, pero no todos usan estas herramientas (o las encuentran convenientes o incluso intuitivas)», dijeron. «Incluso los usuarios cuidadosos que conocen el truco que involucra la página del foro falsa pueden no reconocerla hasta que sea demasiado tarde».

.

Deberías compartir en tu Facebook para que tus colegas lo lean

??? ? ? ???

Comparte