El malware GootLoader sigue activo y despliega nuevas versiones para ataques mejorados

Luis Quiles

julio 5, 2024

Envenenamiento de SEO, Ataque cibernético

El malware conocido como GootLoader sigue siendo utilizado activamente por actores de amenazas que buscan entregar cargas útiles adicionales a hosts comprometidos.

«Actualizaciones al payload de GootLoader han resultado en varias versiones de GootLoader, siendo GootLoader 3 la versión actualmente en uso activo,» dijo la firma de ciberseguridad Cybereason en un análisis publicado la semana pasada.

«Aunque algunos detalles específicos de los payloads de GootLoader han cambiado con el tiempo, las estrategias de infección y la funcionalidad general siguen siendo similares al resurgimiento del malware en 2020.»

GootLoader, un cargador de malware asociado al troyano bancario Gootkit, está vinculado a un actor de amenazas conocido como Hive0127 (también conocido como UNC2565). Este malware abusa de JavaScript para descargar herramientas de post-explotación y se distribuye mediante tácticas de envenenamiento de SEO (optimización de motores de búsqueda).

Normalmente actúa como conducto para la entrega de diversas cargas útiles como Cobalt Strike, Gootkit, IcedID, Kronos, REvil y SystemBC.

En los últimos meses, los actores de amenazas detrás de GootLoader también han lanzado su propia herramienta de comando y control (C2) y de movimiento lateral llamada GootBot, lo que indica que «el grupo está expandiendo su mercado para obtener una audiencia más amplia para sus ganancias financieras».

Las cadenas de ataque implican comprometer sitios web para hospedar el payload JavaScript de GootLoader, haciéndolo pasar por documentos legales y acuerdos. Una vez lanzado, establece persistencia utilizando una tarea programada y ejecuta más JavaScript para iniciar un script de PowerShell que recopila información del sistema y espera nuevas instrucciones.

«Los sitios que alojan estos archivos de archivo utilizan técnicas de envenenamiento de optimización en motores de búsqueda (SEO) para atraer a víctimas que buscan archivos relacionados con negocios como plantillas de contratos o documentos legales», dijeron los investigadores de seguridad Ralph Villanueva, Kotaro Ogino y Gal Romano.

Los ataques también son notables por hacer uso de codificación de código fuente, obfuscación del flujo de control y inflación del tamaño de la carga útil para resistir el análisis y la detección. Otra técnica implica incrustar el malware en archivos legítimos de bibliotecas JavaScript como jQuery, Lodash, Maplace.js y tui-chart.

«GootLoader ha recibido varias actualizaciones durante su ciclo de vida, incluidos cambios en las funcionalidades de evasión y ejecución», concluyeron los investigadores.

Tags :