Il malware GootBot si diffonde a un ritmo allarmante
Una variante scoperta di recente del malware GootLoader, nota come GootBot, è stata identificata come uno strumento che consente movimenti non autorizzati all'interno di sistemi compromessi e riesce a evitare il rilevamento. I ricercatori di IBM X-Force, Golo Mühr e Ole Villadsen, hanno notato che il gruppo GootLoader ha introdotto questo bot personalizzato in una fase avanzata del processo di attacco nel tentativo di evitare il rilevamento quando si utilizzano strumenti di comando e controllo (C2) comunemente disponibili come CobaltStrike o PSR.
Questa nuova iterazione del malware è leggera ed efficiente e consente agli aggressori di infiltrarsi rapidamente in una rete e introdurre ulteriori payload dannosi. GootLoader, come suggerisce il nome, è un malware specializzato nel download di malware della fase successiva dopo aver attirato potenziali vittime attraverso tecniche di avvelenamento da ottimizzazione dei motori di ricerca (SEO). È stato collegato a un attore di minacce identificato come Hive0127 (noto anche come UNC2565).
L’implementazione di GootBot significa un cambiamento di strategia, con l’impianto che viene consegnato come carico utile a seguito di un’infezione da GootLoader invece di fare affidamento su strutture post-sfruttamento come CobaltStrike. GootBot è descritto come uno script PowerShell oscurato progettato per connettersi a un sito WordPress compromesso per comando e controllo e per ricevere ulteriori istruzioni.
GootBot utilizza trucchi intelligenti
A complicare ulteriormente la situazione è l’uso di un server C2 distinto codificato per ciascuna istanza di GootBot, rendendo difficile il blocco del traffico di rete dannoso. Sono state osservate campagne attuali che utilizzano risultati di ricerca avvelenati dal SEO relativi a temi come contratti, documenti legali o altri contenuti relativi alle attività commerciali, indirizzando le vittime a siti Web compromessi che sembrano forum legittimi. Lì vengono ingannati e scaricano il payload iniziale sotto forma di file di archivio. Questo file di archivio contiene un file JavaScript oscurato che, al momento dell'esecuzione, recupera un altro file JavaScript, pianificato per l'esecuzione come meccanismo di persistenza.
Nella seconda fase, JavaScript è configurato per eseguire uno script PowerShell che raccoglie informazioni di sistema e le invia a un server remoto. In cambio, il server risponde con uno script PowerShell che opera in un ciclo infinito, consentendo all'autore della minaccia di distribuire vari payload. Ciò include GootBot, che comunica periodicamente con il suo server C2 ogni 60 secondi per recuperare ed eseguire attività PowerShell e inviare i risultati al server tramite richieste HTTP POST.
GootBot vanta una vasta gamma di capacità, dalla ricognizione al movimento laterale all'interno dell'ambiente compromesso, amplificando significativamente la portata dell'attacco.
