Un reciente análisis de la firma de ciberseguridad Cybereason reveló múltiples versiones del cargador de malware GootLoader, siendo la versión 3 la más reciente.
A pesar de los cambios en las cargas útiles, las estrategias de infección y la funcionalidad general permanecen similares al resurgimiento del malware en 2020.
GootLoader, asociado al troyano bancario Gootkit y al actor de amenazas Hive0127 (UNC2565), se distribuye utilizando tácticas de manipulación de motores de búsqueda (SEO) y abusa de JavaScript para descargar herramientas de post-explotación.
Como conducto para entregar varias cargas útiles como Cobalt Strike, Gootkit, IcedID, Kronos, REvil y SystemBC, los actores de amenazas también han lanzado su propia herramienta de comando y control (C2) y de movimiento lateral llamada GootBot.
Los ataques implican comprometer sitios web para alojar la carga útil de JavaScript de GootLoader, presentándola como documentos legales. Esta carga útil establece la persistencia y ejecuta JavaScript adicional para iniciar un script de PowerShell.
Además, los atacantes usan técnicas como codificación de código fuente, obfuscación de flujo de control y aumento del tamaño de la carga útil para resistir el análisis y la detección. También incrustan el malware en archivos de bibliotecas de JavaScript legítimas como jQuery, Lodash, Maplace.js y tui-chart.
En resumen, GootLoader ha recibido varias actualizaciones durante su ciclo de vida, incluyendo cambios en las funcionalidades de evasión y ejecución.
Vía The Hacker News