Le logiciel malveillant GootBot se propage à un rythme alarmant

Une variante récemment découverte du malware GootLoader, connue sous le nom de GootBot, a été identifiée comme un outil permettant des mouvements non autorisés au sein de systèmes compromis et parvient à éviter d'être détecté. Les chercheurs d'IBM X-Force, Golo Mühr et Ole Villadsen, ont noté que le groupe GootLoader avait introduit ce robot personnalisé à un stade avancé de son processus d'attaque dans le but d'éviter d'être détecté lors de l'utilisation d'outils de commande et de contrôle (C2) couramment disponibles comme CobaltStrike. ou RDP.

Cette nouvelle itération du malware est à la fois légère et efficace, permettant aux attaquants d'infiltrer rapidement un réseau et d'introduire des charges utiles malveillantes supplémentaires. GootLoader, comme son nom l'indique, est un malware spécialisé dans le téléchargement de malwares ultérieurs après avoir attiré des victimes potentielles grâce à des techniques d'empoisonnement par l'optimisation des moteurs de recherche (SEO). Il a été lié à un acteur menaçant identifié sous le nom de Hive0127 (également connu sous le nom de UNC2565).

Le déploiement de GootBot signifie un changement de stratégie, l'implant étant livré sous forme de charge utile suite à une infection GootLoader au lieu de s'appuyer sur des frameworks post-exploitation comme CobaltStrike. GootBot est décrit comme un script PowerShell obscur conçu pour se connecter à un site WordPress compromis à des fins de commande et de contrôle et pour recevoir des instructions supplémentaires.

GootBot utilise des astuces intelligentes

L'utilisation d'un serveur C2 codé en dur distinct pour chaque instance de GootBot complique encore davantage la situation, ce qui rend difficile le blocage du trafic réseau malveillant. Des campagnes actuelles ont été observées utilisant des résultats de recherche empoisonnés par le référencement liés à des thèmes tels que des contrats, des documents juridiques ou d'autres contenus liés aux affaires, dirigeant les victimes vers des sites Web compromis qui semblent être des forums légitimes. Là, ils sont trompés et téléchargent la charge utile initiale sous la forme d’un fichier d’archive. Ce fichier d'archive contient un fichier JavaScript masqué qui, lors de son exécution, récupère un autre fichier JavaScript, programmé pour s'exécuter en tant que mécanisme de persistance.

Dans la deuxième étape, JavaScript est configuré pour exécuter un script PowerShell qui collecte les informations système et les envoie à un serveur distant. En retour, le serveur répond avec un script PowerShell qui fonctionne en boucle infinie, permettant à l'acteur malveillant de distribuer diverses charges utiles. Cela inclut GootBot, qui communique périodiquement avec son serveur C2 toutes les 60 secondes pour récupérer et exécuter des tâches PowerShell et renvoyer les résultats au serveur via des requêtes HTTP POST.

GootBot dispose d'une gamme de capacités, de la reconnaissance au mouvement latéral dans l'environnement compromis, amplifiant considérablement la portée de l'attaque.