A Sophos acaba de publicar o estudo “Gootloader expande suas opções de entrega de carga útil”, que detalha como o método de entrega para o malware financeiro Gootkit foi desenvolvido em um sistema complexo e furtivo para uma ampla gama de malwares, incluindo ransomwares. Os pesquisadores chamaram a plataforma de “Gootloader”, responsável por entregar de forma ativa cargas maliciosas por meio de operações altamente direcionadas nos Estados Unidos, Alemanha e Coreia do Sul. As campanhas anteriores também tiveram como alvo os usuários da Internet na França.
A cadeia de performance do Gootloader começa com técnicas sofisticadas de engenharia social que envolvem sites hackeados, downloads maliciosos e otimização de mecanismo de pesquisa (SEO) manipulada. Dessa forma, quando alguém digita uma pergunta em um dispositivo de busca como o Google, por exemplo, os sites invadidos aparecem entre os principais resultados.
O estudo mostra ainda que os sites falsos são visualmente idênticos, independentemente de serem em inglês, alemão ou coreano e, para garantir que os alvos das localidades corretas sejam capturados, os cibercriminosos reescrevem o código do site “em movimento” para que os visitantes que se encontram fora dos países desejados vejam um conteúdo benigno da web, enquanto os do local certo recebem uma página com uma discussão falsa em um fórum sobre o tópico que eles consultaram anteriormente.
O fórum falso de discussão inclui uma postagem de um “administrador do site”, com um link para download contendo um arquivo Javascript malicioso. A partir disso, o ataque prossegue de forma secreta, usando uma ampla gama de complexas técnicas de evasão, várias camadas de ofuscação e fileless malware, injetado na memória ou no registro onde as varreduras de segurança convencionais não podem alcançá-lo.
Segundo Gabor Szappanos, diretor de pesquisa de ameaças da Sophos, os desenvolvedores por trás do Gootkit possivelmente transferiram recursos e energia da entrega de seu próprio malware financeiro para a criação de uma plataforma complexa e furtiva para todos os tipos de cargas úteis. “Os cibercriminosos tendem a reutilizar suas soluções comprovadas em vez de desenvolver novos mecanismos de entrega. Além disso, ao invés de atacar ativamente as ferramentas de endpoint, como fazem alguns distribuidores de malware, os criadores do Gootloader optam por técnicas evasivas complexas que ocultam o resultado final”, comenta.
O diretor explica ainda que os criadores do golpe usam uma série de truques de engenharia social que podem enganar até mesmo usuários de TI qualificados e felizmente, existem alguns sinais de alerta que os usuários da Internet podem observar:“ Isso inclui resultados de pesquisa do Google que apontam para sites de empresas que não têm nenhuma conexão lógica com o conselho que parecem oferecer; aconselhamento que corresponda precisamente aos termos de pesquisa usados na pergunta inicial; e uma página no estilo de ‘quadro de mensagens’ que parece idêntica aos exemplos mostrados na pesquisa da Sophos, apresentando texto e um link de download que também corresponde precisamente aos termos de pesquisa usados na pesquisa inicial do Google” completa.
Contar com a melhor proteção contra ataques Gootloader é uma solução de segurança abrangente,capaz de verificar atividades suspeitas na memória e proteger contra fileless malwares. É o caso da solução Sophos Intercept X, que protege os usuários detectando as ações e comportamentos de malware como o Gootloader, Cobalt Strike ou o uso de suas técnicas de esvaziamento de processo para injetar malware em um sistema em execução.
Além disso, os usuários do Windows também podem desativar a configuração de exibição “Ocultar extensões para tipos de arquivos conhecidos” no explorador de arquivos do Windows, pois isso permitirá identificar que o download “.zip” entregue pelos invasores contém um outro arquivo com uma extensão “.js.” Já no Firefox, bloqueadores de script como o NoScript podem ajudar os internautas a permanecerem seguros, evitando que a substituição da página hackeada apareça em primeiro lugar.
