多有效负载的Gootloader平台可隐秘地提供恶意软件和勒索软件

已有6年历史的Gootkit金融恶意软件的分发方法已发展成一种复杂,隐秘的分发系统,可用于包括勒索软件在内的各种恶意软件。 Sophos研究人员将平台命名为Gootloader。它通过在美国,德国和韩国进行有针对性的操作来积极提供恶意有效载荷。以前的广告系列还针对法国的互联网用户。

装弹机

装弹机感染链始于复杂的社会工程学技术,涉及被黑客入侵的网站,恶意下载和操纵的搜索引擎优化(SEO)。当有人在Google之类的搜索引擎中输入问题时,被黑的网站就会出现在搜索结果的顶部。

为了确保捕获来自正确地理位置的目标,攻击者会“随时随地”重写网站代码,以便向处于期望国家/地区之外的网站访问者显示良性的Web内容,而向来自正确位置的访问者显示带有假讨论的页面他们所查询主题的论坛。假冒网站无论是英语,德语还是韩语,在视觉上都是相同的。

虚假的讨论论坛包含“站点管理员”的帖子,以及下载链接。下载是一个恶意的Javascript文件,它会启动下一阶段的入侵。

从这一刻起,攻击便秘密进行,使用了各种复杂的规避技术,多层混淆以及无文件恶意软件,这些恶意软件被注入到常规安全扫描无法到达的内存或注册表中。 Gootloader目前正在德国提供Kronos金融恶意软件,并在美国和韩国提供开发后的工具Cobalt Strike。它还提供了REvil勒索软件和Gootkit木马本身。

“ Gootkit背后的开发人员似乎已经将资源和精力从仅提供自己的财务恶意软件转移到了为包括REvil勒索软件在内的各种有效载荷创建隐身,复杂的交付平台。” 加伯·萨帕诺斯(Gabor Szappanos),Sophos威胁研究总监。 “这表明犯罪分子倾向于重用其可靠的解决方案,而不是开发新的交付机制。此外,Gootloader的创建者没有像某些恶意软件分发者那样积极攻击端点工具,而是选择了隐藏最终结果的复杂回避技术。

“ Gootloader的创建者使用了许多社交工程技巧,甚至可以欺骗技术熟练的IT用户。幸运的是,互联网用户可以注意一些警告信号。其中包括Google搜索结果,这些搜索结果指向的企业网站与其所提供的建议没有逻辑联系;与最初问题中使用的搜索词完全匹配的建议;以及一个“留言板”样式的页面,其外观与Sophos研究中显示的示例相同,其文字和下载链接也与最初的Google搜索中使用的搜索字词完全匹配。”

最好的全面防御Gootloader攻击的方法是提供全面的安全解决方案,该解决方案可以扫描内存中的可疑活动并防御 无文件恶意软件。 Windows用户也可以关闭 “隐藏已知文件类型的扩展名” 查看Windows文件资源管理器中的设置,因为这将使他们看到攻击者提供的.zip下载文件包含扩展名为.js的文件。脚本阻止程序(例如Firefox的NoScript)可通过防止替换网页被黑首先显示,从而帮助网络冲浪者保持安全。

第一阶段的javascript文件被检测为:AMSI / GootLdr-A。 PowerShell加载程序检测为:AMSI / Reflect-H。研究人员已经发布了危害的指标 索福斯Labs GitHub.

分享这个