Malware GootBot se espalha em ritmo alarmante

Uma variante recentemente descoberta do malware GootLoader, conhecida como GootBot, foi identificada como uma ferramenta que permite movimentos não autorizados em sistemas comprometidos e consegue evitar a detecção. Pesquisadores da IBM X-Force, Golo Mühr e Ole Villadsen, observaram que o grupo GootLoader introduziu esse bot personalizado em um estágio final de seu processo de ataque, em um esforço para evitar a detecção ao usar ferramentas de comando e controle (C2) comumente disponíveis, como CobaltStrike ou RDP.

Esta nova iteração do malware é leve e eficiente, permitindo que os invasores se infiltrem rapidamente em uma rede e introduzam cargas maliciosas adicionais. GootLoader, como o nome sugere, é um malware especializado em baixar malware de estágio subsequente após atrair vítimas em potencial por meio de técnicas de envenenamento de otimização de mecanismo de pesquisa (SEO). Foi vinculado a um ator de ameaça identificado como Hive0127 (também conhecido como UNC2565).

A implantação do GootBot significa uma mudança de estratégia, com o implante sendo entregue como uma carga útil após uma infecção do GootLoader, em vez de depender de estruturas pós-exploração como o CobaltStrike. GootBot é descrito como um script PowerShell obscuro projetado para se conectar a um site WordPress comprometido para comando e controle e para receber instruções adicionais.

GootBot usa truques inteligentes

Para complicar ainda mais a situação está o uso de um servidor C2 codificado distinto para cada instância do GootBot, tornando um desafio bloquear o tráfego de rede malicioso. Campanhas atuais foram observadas usando resultados de pesquisa envenenados por SEO relacionados a temas como contratos, documentos legais ou outros conteúdos relacionados a negócios, direcionando as vítimas para sites comprometidos que parecem ser fóruns legítimos. Lá, eles são enganados e fazem o download da carga inicial na forma de um arquivo compactado. Este arquivo contém um arquivo JavaScript oculto que, após a execução, recupera outro arquivo JavaScript, programado para ser executado como um mecanismo de persistência.

Na segunda etapa, o JavaScript é configurado para executar um script PowerShell que coleta informações do sistema e as envia para um servidor remoto. Em troca, o servidor responde com um script PowerShell que opera em um loop infinito, permitindo que o agente da ameaça distribua várias cargas úteis. Isso inclui o GootBot, que se comunica periodicamente com seu servidor C2 a cada 60 segundos para recuperar e executar tarefas do PowerShell e enviar os resultados de volta ao servidor por meio de solicitações HTTP POST.

O GootBot possui uma gama de capacidades, desde reconhecimento até movimento lateral dentro do ambiente comprometido, ampliando significativamente o alcance do ataque.