L’operazione “Gootloader” diffonde ransomware, trojan tramite Google check.
Secondo la società di sicurezza Sophos, un nuovo programma di caricamento malware denominato “Gootloader” utilizza tecniche di ottimizzazione dei motori di ricerca per diffondere ransomware, trojan e altri malware.
L’operazione è attiva in Nord America, Corea del Sud, Germania e Francia, affermano i ricercatori di Sophos.
Come funziona
Per indurre le vittime a visitare siti Web infetti, “Gootloader utilizza tecniche di ottimizzazione dei motori di ricerca dannose per entrare nei risultati di ricerca di Google“, osserva Sophos. “Queste tecniche sono efficaci per eludere il rilevamento su una rete, fino al punto in cui l’attività dannosa inciampa sulle regole di rilevamento comportamentale“.
Quando qualcuno inserisce determinate parole chiave (keywords) in una ricerca su Google, viene visualizzato il collegamento al sito Web dannoso. Una volta che visitano il sito Web, viene chiesto loro di scaricare un file zip che installa Gootloader, che quindi carica REvil ransomware e i trojan Gootkit e Kronos, le note del rapporto.
La tecnica dietro l’attacco
I ricercatori di Sophos affermano che Gootloader utilizza una rete di 400 siti Web compromessi, incluso il sito di uno studio medico neonatale in Canada.
“Nessuno dei contenuti legittimi del sito ha nulla a che fare con le transazioni immobiliari – si tratta di medici ginecologi – eppure è il primo risultato che appare in una query su un tipo di contratto immobiliare ben definito“, osserva il rapporto. “Google stesso indica che il risultato non è un annuncio, e conoscono il sito da quasi sette anni“.
Un server dannoso controlla se la pagina caricata soddisfa i criteri di Gootloader e quindi ridisegna la pagina per dare al visitatore l’aspetto che si trova in un forum di discussione. Il forum quindi richiede alle vittime di scaricare un file .ZIP, che, una volta eseguito, aggiunge un codice JavaScript e scarica il payload della prima fase sui dispositivi delle vittime.
“Questo script di ‘prima fase’ è l’unico componente dell’attacco scritto nel filesystem“, osserva Sophos. “Poiché è l’unico esposto ai metodi di scansione AV convenzionali, l’autore ha offuscato lo script e aggiunto due livelli di crittografia alle stringhe e ai flussi di dati relativi alla fase successiva dell’attacco“.
Gootloader scarica quindi dotNET injector, che carica i payload finali, come REvil e il malware Gootkit.
Sophos afferma che questo nuovo caricatore appartiene alla famiglia di malware Gootkit, attiva dal 2011. Gootkit è un trojan bancario che è scritto in gran parte in node.JS. Il malware può registrare video per rubare informazioni finanziarie alle vittime e caricare il ceppo ransomware REvil.
Attacchi simili
Nel dicembre 2020, la società di sicurezza Malwarebytes ha scoperto un’operazione Gootkit che utilizzava siti Web compromessi per fornire payload. Una volta scaricati i payload, i dispositivi delle vittime sono stati infettati da Gootkit.
Un altro rapporto di Malwarebytes ha rilevato che Gootkit utilizzava falsi modelli di forum su siti Web compromessi per infettare le vittime.