Một khuôn khổ nổi tiếng về việc cung cấp Trojan ngân hàng đã được nâng cấp để triển khai nhiều loại phần mềm độc hại hơn, bao gồm cả tải trọng ransomware.
“Các Gootkit họ phần mềm độc hại đã tồn tại hơn nửa thập kỷ – một loại Trojan trưởng thành với chức năng tập trung vào hành vi trộm cắp thông tin xác thực ngân hàng “, các nhà nghiên cứu của Sophos, Gabor Szappanos và Andrew Brandt nói trong một bài viết được xuất bản ngày hôm nay.
“Trong những năm gần đây, hầu như nỗ lực cải tiến phương thức phân phối của nó cũng giống như chính phần mềm độc hại dựa trên NodeJS.”
Được mệnh danh là “Gootloader”, hệ thống phân phối phần mềm độc hại mở rộng ra đời trong bối cảnh số lượng trường hợp lây nhiễm nhắm mục tiêu vào người dùng ở Pháp, Đức, Hàn Quốc và Mỹ tăng vọt.
Được ghi nhận lần đầu vào năm 2014, Gootkit là một nền tảng phần mềm độc hại dựa trên Javascript có khả năng thực hiện một loạt các hoạt động bí mật, bao gồm đưa vào web, ghi lại các tổ hợp phím, chụp ảnh màn hình, quay video cũng như đánh cắp email và mật khẩu.
Trong những năm qua, công cụ tội phạm mạng đã phát triển để đạt được các tính năng ăn cắp thông tin mới, với bộ tải Gootkit đặt lại kết hợp với các trường hợp nhiễm ransomware REvil / Sodinokibi được báo cáo vào năm ngoái.
Mặc dù các chiến dịch sử dụng các thủ thuật kỹ thuật xã hội để cung cấp các tải trọng độc hại là một xu, nhưng Gootloader sẽ đưa nó lên một cấp độ tiếp theo.
Chuỗi lây nhiễm sử dụng các kỹ thuật phức tạp liên quan đến việc lưu trữ các tệp lưu trữ ZIP độc hại trên các trang web thuộc các doanh nghiệp hợp pháp đã được đánh cược để xuất hiện trong số các kết quả hàng đầu của truy vấn tìm kiếm bằng cách sử dụng các phương pháp tối ưu hóa công cụ tìm kiếm (SEO) bị thao túng.
Hơn nữa, kết quả của công cụ tìm kiếm chỉ ra các trang web không có kết nối “logic” với truy vấn tìm kiếm, ngụ ý rằng những kẻ tấn công phải sở hữu một mạng lưới rộng lớn các trang web bị tấn công. Trong một trường hợp được các nhà nghiên cứu phát hiện, kết quả đầu tiên là một lời khuyên cho một thỏa thuận bất động sản đã đưa ra kết quả đầu tiên là vi phạm thực hành y tế sơ sinh có trụ sở tại Canada.
“Để đảm bảo nắm bắt được các mục tiêu từ các khu vực địa lý phù hợp, kẻ thù sẽ viết lại mã trang web ‘khi đang di chuyển’ để những khách truy cập trang web nằm ngoài quốc gia mong muốn được hiển thị nội dung web lành tính, trong khi những người đến từ đúng vị trí được hiển thị một trang có nội dung giả mạo các nhà nghiên cứu cho biết trên diễn đàn thảo luận về chủ đề mà họ đã truy vấn.
Việc nhấp vào kết quả tìm kiếm sẽ đưa người dùng đến một trang giống như bảng thông báo giả mạo không chỉ khớp với các cụm từ tìm kiếm được sử dụng trong truy vấn ban đầu mà còn bao gồm một liên kết đến tệp ZIP, chứa tệp Javascript bị xáo trộn nặng nề, bắt đầu giai đoạn tiếp theo của thỏa hiệp để đưa phần mềm độc hại không lọc được tìm nạp từ máy chủ từ xa vào bộ nhớ.
Điều này có dạng một phương pháp né tránh nhiều giai đoạn bắt đầu với trình tải .NET, bao gồm phần mềm độc hại của trình tải dựa trên Delphi, đến lượt nó, chứa tải trọng cuối cùng ở dạng được mã hóa.
Ngoài việc phân phối ransomware REvil và trojan Gootkit, nhiều chiến dịch đã được phát hiện hiện đang tận dụng khung Gootloader để phát tán lén lút phần mềm độc hại tài chính Kronos ở Đức và công cụ khai thác sau Cobalt Strike ở Mỹ.
Vẫn chưa rõ bằng cách nào mà các nhà khai thác truy cập vào các trang web để phục vụ cho việc tiêm mã độc, nhưng các nhà nghiên cứu nghi ngờ những kẻ tấn công có thể đã lấy được mật khẩu bằng cách cài đặt phần mềm độc hại Gootkit hoặc mua thông tin đăng nhập bị đánh cắp từ các thị trường ngầm hoặc bằng cách tận dụng các lỗi bảo mật hiện tại. trong các plugin được sử dụng cùng với phần mềm hệ thống quản lý nội dung (CMS).
Gabor Szappanos, giám đốc nghiên cứu mối đe dọa tại Sophos cho biết: “Các nhà phát triển đằng sau Gootkit dường như đã chuyển nguồn lực và năng lượng từ việc chỉ cung cấp phần mềm độc hại tài chính của riêng họ sang tạo ra một nền tảng phân phối lén lút, phức tạp cho tất cả các loại tải trọng, bao gồm cả REvil ransomware,” Gabor Szappanos, giám đốc nghiên cứu mối đe dọa tại Sophos cho biết.
“Điều này cho thấy tội phạm có xu hướng sử dụng lại các giải pháp đã được chứng minh của chúng thay vì phát triển các cơ chế phân phối mới. Hơn nữa, thay vì chủ động tấn công các công cụ điểm cuối như một số nhà phân phối phần mềm độc hại vẫn làm, những người tạo ra Gootloader đã chọn các kỹ thuật lẩn tránh phức tạp để che giấu kết quả cuối cùng”, anh thêm.
