نفوذ بدافزار GootLoader به کاربرانی که در جستجوی قوانین گربه بنگال در استرالیا هستند!

بدافزار GootLoader، یک لودر است که به سوء استفاده از جاوا اسکریپت برای دانلود بدافزار یا ابزارهایی که پس از انجام فرآیند نفوذ برای سوء استفاده بیشتر و تداوم دسترسی در دستگاه آلوده مورد نیاز است، شناخته می‌شود.

GootLoader از تکنیک SEO poisoning برای نفوذ اولیه استفاده می‌کند تا پیلود مخرب جاوا اسکریپت خود را بین قربانیان توزیع کند. این بدافزار به هنگام جستجوی عبارات خاصی مانند اسناد قانونی و توافقنامه‌ها در موتورهای جستجو مانند گوگل، بر روی ماشین‌های قربانی مستقر می‌شود.

اخیرا در یک اتفاق جالب، کاربرانی که در مورد گربه‌های بنگال در استرالیا جستجو می‌کنند، توسط بدافزار GootLoader مورد هدف قرار گرفته‌اند.

قربانیان اغلب فریفته کلیک بر روی ابزارهای تبلیغاتی مخرب یا لینک می‌شوند و یا در این مورد یک جستجوی قانونی گوگل کاربران را به یک وب سایت مخرب هدایت می‌کند که میزبان یک پیلود آلوده است که به عنوان فایل مورد نظر ظاهر می‌شود.

چنانچه بدافزار در دستگاه قربانی شناسایی نشده باقی بماند، راه را برای یک پیلود مرحله دوم به نام GootKit باز می‌کند که یک رباینده اطلاعات و تروجان دسترسی از راه دور (RAT) است که برای ایجاد یک جای پای ثابت در محیط شبکه قربانی طراحی شده است.

GootKit می‌تواند برای استقرار باج افزار یا دیگر ابزارها، از جمله Cobalt Strike، IcedID، Kronos، REvil و SystemBC به منظور بهره برداری‌هایب بعدی استفاده شود.

MDR شرکت Sophos، یک آرشیو zip را کشف کرده است که برای تحویل پیلود مرحله اول GootLoader در حین بررسی تاریخچه مرورگر کاربر قربانی استفاده می‌شود. این پیلود به MDR اجازه میدهد تا وب‌سایت آلوده را که میزبان پیلود مخرب است شناسایی کند.

یک فایل جاوا اسکریپت در آرشیو ZIP وجود دارد که مسئول راه اندازی یک زنجیره حمله چند مرحله‌ای است که با اجرای یک اسکریپت PowerShell که قادر به جمع آوری اطلاعات سیستم و دریافت پیلودهای بیشتر است به اوج خود می‌رسد.

گروه Vulnerbyte، اوایل ماه جولای ۲۰۲۴ نیز گزارشی در خصوص افزایش فعالیت بدافزار GootLoader  منتشر کرد. زنجیره‌ حمله شامل ایجاد وب‌ سایت‌هایی است که آرشیوهایی با موضوعات و عناوین اسناد و توافق نامه‌های قانونی را میزبانی می‌کنند. هکرها به گونه‌ای بر روی SEO این سایت‌ها کار کرده‌اند که غالبا در نتایج جستجو، بالا هستند.

این فایل‌های آرشیو حاوی پیلود جاوا اسکریپت GootLoader  می‌باشند. هکرها با آلوده ساختن این اسناد به پیلود جاوا اسکریپت بدافزار GootLoader، فرآیند نفوذ به دستگاه قربانی را تسهیل می‌سازند. این حملات همچنین به دلیل استفاده از رمزگذاری کد منبع، مبهم سازی جریان و کنترل آن، افزایش اندازه پیلود به منظور دشوار ساختن تجزیه و تحلیل و شناسایی آن، قابل توجه و حائز اهمیت می‌باشند.

نسخه‌های ۲.۰ و ۳.۰ بدافزار GootLoader، فایل‌های کتابخانه جاوا اسکریپت قانونی را به عنوان بخشی از تکنیک دور زدن مکانیزم شناسایی، تروجانیزه می‌کنند. بدافزار GootLoader در طول چرخه حیات خود چندین به روزرسانی دریافت کرده است که یکی از آنها، همین تغییر در عملکرد دور زدن نرم افزارها و مکانیزم‌های امنیتی و اجرای بدافزار می‌باشد.

GootLoader یکی از گروه‌های مصمم در تحویل بدافزار به عنوان یک سرویس است که به شدت از نتایج جستجو به عنوان ابزاری برای دسترسی به قربانیان استفاده می‌کند. استفاده از بهینه‌سازی موتورهای جستجو و سوء استفاده از تبلیغات موتورهای جستجو برای فریب دادن اهداف به منظور دانلود لودرها و نصب کننده‌های بدافزار، اتفاق جدیدی نیست،  GootLoader حداقل از سال 2020 این کار را انجام می‌دهد.

در کنار نرم افزارهای امنیتی که وجود دارد و کاربران می‌توانند برای شناسایی این نوع بدافزار پیاده‌سازی کنند، بهترین راهکار پیشنهادی در مقابل چنین تهدیداتی، مراقبت در برابر لینک‌ها یا منابع مشکوکی است که ممکن است آلوده باشند.

منابع