Sophos acaba de publicar una serie de informes aleccionadores que detallan su batalla de cinco años contra los ciberatacantes chinos y cuenta una historia interesante sobre los usuarios de un popular ladrón de información y RAT que apunta a un grupo específico de víctimas.
Desde 2014, Gootloader es uno de los programas maliciosos más populares de su tipo. También puede utilizarse como eliminador de malware, actuando como un medio para robar información o como precursor de otros ataques como el ransomware.
Los atacantes con motivaciones financieras suelen lanzar una amplia red o apuntar a organizaciones o individuos específicos de alto valor, como bancos o inversores en criptomonedas. Eso hace que los hallazgos de Security Shop de que delincuentes armados con cargadores de tripas parecen estar apuntando a los amantes de los gatos bengalíes en Australia sean aún más desconcertantes.
Como sabes, los Gootloaders son conocidos por utilizar tácticas de envenenamiento de SEO para implementar sus productos ante víctimas desprevenidas. Sophos lanzó una investigación de “búsqueda exhaustiva de amenazas” sobre el malware después de que surgiera una nueva variante en marzo, utilizando estas tácticas para apuntar a personas que buscaban “¿Son legales los gatos de Bengala en Australia?”. y consultas similares.
Como ejemplo, los investigadores mostraron cómo el primer sitio web (un foro contaminado con SEO) regresó después de que una consulta en un motor de búsqueda contenía una publicación con texto con hipervínculo. Una vez que se hace clic, se descarga inmediatamente un archivo ZIP sospechoso y se ejecuta la primera etapa de la carga útil del malware.
Los investigadores también notaron que el navegador del usuario era redirigido a otro sitio web, se eliminaba un archivo JavaScript de gran tamaño y se iniciaban muchos procesos en la máquina de la víctima.
Durante estos procesos, parecía haber signos de que los delincuentes estaban estableciendo persistencia y pasando comandos a PowerShell para implementar Gootkit, la tercera etapa del malware que conduce a la caída de herramientas como Cobalt Strike y ransomware.
“Gootloader es parte de una operación de distribución de malware como servicio en curso que utiliza en gran medida los resultados de búsqueda como medio para llegar a las víctimas”, escribieron los investigadores en una publicación de blog, y agregaron que también proporcionaron análisis técnicos y el COI es también retomándolo.
“Usar la optimización de motores de búsqueda o abusar de los anuncios de motores de búsqueda para atraer a los objetivos a descargar cargadores o droppers de malware no es nada nuevo. Gootloader ha estado haciendo esto desde al menos 2020. Estamos viendo que Raccoon Stealer y otro malware hacen lo mismo por la misma cantidad. de tiempo.
“Sin embargo, este enfoque ante las infracciones iniciales ha seguido creciendo, con varias campañas a gran escala utilizando esta técnica durante el año pasado”.
El envenenamiento de SEO y la publicidad maliciosa están estrechamente relacionados, y este último ha recibido recientemente atención especial por parte de investigadores de agencias de seguridad nacionales.
NCC Group dijo a principios de este año que esta táctica siempre ha sido popular en el ecosistema del cibercrimen, beneficiando tanto a los corredores de acceso inicial (IAB) como a los estafadores de ransomware.
La publicidad maliciosa suele implicar sitios web promocionales que ofrecen versiones troyanizadas de aplicaciones legítimas. Por lo general, estos tienen capacidades de robo de información, las credenciales recopiladas se envían de vuelta a la IAB y muchos de sus clientes son afiliados de ransomware.
El año pasado, los investigadores hablaron sobre cómo ALPHV/BlackCat, el ahora desaparecido pero ex magnate del ransomware, utilizó tácticas de publicidad maliciosa, por ejemplo, como parte de las rutinas de acceso inicial de los afiliados.
Y las agencias nacionales de ciberseguridad, como el NCSC del Reino Unido, todavía trabajan hoy con los anunciantes para sofocar el flagelo de la publicidad maliciosa, dados sus estrechos vínculos con el ransomware.
Como era de esperar, Google ha sido criticado por algunos por “permitir” que este comportamiento florezca en los resultados de su motor de búsqueda, pero ha defendido consistentemente la demanda y ha explicado cómo se permite. Destacamos que los sitios a menudo quedan excluidos de los resultados de búsqueda cuando se informa. ®
https://packetstormsecurity.com/news/view/36566/Cybercrooks-Are-Targeting-Bengal-Cat-Lovers-In-Australia.html
