Phần mềm chứa mã độc mang tên GootLoader tiếp tục được sử dụng để cung cấp thêm cho các máy chủ bị xâm phạm. Các cập nhật cho GootLoader đã dẫn đến sự xuất hiện của nhiều phiên bản khác nhau, với GootLoader 3 hiện đang được sử dụng
Công ty an ninh mạng Cybereason cho biết trong một phân tích công bố tuần trước như sau: “Mặc dù một số chi tiết cụ thể của GootLoader đã thay đổi theo thời gian, cách thức lây lan và chức năng tổng thể vẫn tương tự như khi phần mềm độc hại này tái xuất hiện vào năm 2020.”
GootLoader, một trình tải phần mềm chứa mã độc thuộc trojan ngân hàng Gootkit, được liên kết với một tác nhân đe dọa mang tên Hive0127 (còn gọi là UNC2565). Nó lạm dụng JavaScript để tải xuống các công cụ hậu khai thác và được phân phối thông qua các chiến thuật tối ưu hóa công cụ tìm kiếm (SEO) độc hại. GootLoader thường được sử dụng như một cầu nối để cung cấp các tải trọng khác như Cobalt Strike, Gootkit, IcedID, Kronos, REvil và SystemBC.
Trong những tháng gần đây, các tác nhân đe dọa đứng sau GootLoader cũng đã triển khai công cụ điều khiển và di chuyển bên trong mới có tên GootBot, cho thấy nhóm này đang mở rộng thị trường để thu hút đối tượng lớn hơn cho mục đích tài chính. Chuỗi tấn công bao gồm việc xâm nhập các trang web JavaScript GootLoader, giả mạo thành các tài liệu và hợp đồng hợp pháp, khi được khởi chạy sẽ thiết lập sự tồn tại thông qua một tác vụ được lên lịch và thực thi thêm JavaScript để khởi động một script PowerShell thu thập thông tin hệ thống và chờ lệnh tiếp theo.
Các trang web lưu trữ các tệp này tận dụng công cụ tối ưu hóa công cụ tìm kiếm (SEO) chứa mã độc để thu hút người dùng tìm kiếm các tệp liên quan đến kinh doanh như mẫu hợp đồng hoặc tài liệu pháp lý. Các cuộc tấn công cũng đáng chú ý vì sử dụng mã hóa mã nguồn, làm rối luồng điều khiển và tăng kích thước tải trọng để chống lại việc phân tích và phát hiện. Một kỹ thuật khác là nhúng phần mềm độc hại vào các tệp thư viện JavaScript hợp pháp như jQuery, Lodash, Maplace.js và tui-chart.
Đừng quên theo dõi VNCS Global để nắm bắt kịp thời các thông tin mới nhất về an toàn thông tin nhé!
Nguồn: The Hacker News