Hackers usam black hat SEO para enviar ransomware e trojans via Google

Programa maligno está distribuindo uma variedade maior de malware por meio de sites WordPress hackeados e técnicas de SEO maliciosas
Da Redação
02/03/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O sistema de entrega de ransomware para o ladrão de informações Gootkit evoluiu para uma estrutura complexa que lhe valeu uma nova denominação: Gootloader. Agora, o programa maligno está distribuindo uma variedade maior de malware por meio de sites WordPress hackeados e técnicas de SEO maliciosas para enganar o algoritmo de resultados do Google.

Conhecida como black hat SEO, trata-se de uma técnica agressiva de otimização para mecanismos de busca que tenta manipular suas regras com objetivo de obter as melhores posições no ranking do Google, por exemplo. O nome black hat é uma alusão aos filmes de faroeste, em que os bandidos geralmente usavam chapéu preto.

Além de aumentar o número de cargas úteis, Gootloader foi visto distribuindo-as em várias regiões a partir de centenas de servidores hackeados que estão ativos o tempo todo. Campanhas de malware que dependem do mecanismo do Gootloader foram detectadas no ano passado para instalação do ransomware REvil para alvos na Alemanha. A atividade marcou o reinício das operações do Gootkit, que tiveram uma longa pausa após um vazamento de dados no final de 2019.

Os hackers se reagruparam formando uma vasta rede de sites WordPress hackeados e usando o envenenamento de SEO para mostrar nos fóruns do Google postagens em fóruns falsos com links maliciosos.

Um relatório recente divulgado pela empresa de segurança cibernética Sophos estima que Gootloader controla cerca de 400 servidores ativos a qualquer momento que hospedam sites legítimos hackeados. Os pesquisadores da empresa dizem que o operador da ameaça modificou o sistema de gerenciamento de conteúdo (CMS) dos sites hackeados para mostrar os painéis de mensagens falsos aos visitantes de locais específicos.

Em um exemplo de site hackeado que faz parte da estrutura Gootloader, a postagem falsa do fórum parece fornecer uma resposta para uma consulta de pesquisa muito específica relacionada a transações imobiliárias. No entanto, o resultado está em um site para uma prática médica neonatal que não tem nada em comum com o tema pesquisado, “mas é o primeiro resultado a aparecer em uma consulta sobre um tipo de contrato imobiliário muito restrito”.

Além da carga útil típica, o Gootkit e o ransomware REvil, o Gootloader também distribui o trojan Kronos e o kit de ferramentas de emulação de ameaças Cobalt Strike. De acordo com a Sophos, as campanhas do Gootloader têm como alvo visitantes da Alemanha, EUA e Coreia do Sul. Outro país que foi alvo anteriormente é a França.

Clicar no link leva o visitante a um arquivo Zip de um arquivo JavaScript que atua como o infectador inicial. Os pesquisadores observam que este é o único estágio em que um arquivo é gravado no disco e que todos os outros malwares são implantados na memória do sistema, portanto, as ferramentas de segurança tradicionais não podem detectá-lo.

Todas as postagens do fórum têm a mesma aparência, independentemente do idioma. Se o visitante não corresponder ao perfil de destino, ele verá uma página falsa com texto que parece normal no início, mas se transforma em um passeio ininteligível no final.

Reviravoltas na cadeia de infecção

A carga útil inicial do JavaScript é duas vezes ofuscada para evitar a detecção de soluções antivírus tradicionais. Ele também inclui duas camadas de criptografia para strings e blobs de dados que se relacionam ao próximo estágio do ataque, que é o único propósito do código malicioso. Se a mudança para o segundo estágio for bem-sucedida, o servidor de comando e controle (C2) Gootloader fornece uma sequência de valores numéricos que representam caracteres ASCII, que é carregada na memória do sistema.

Veja isso
Ransomware Revil exibe acesso a servidor do Union Bank of Nigeria
Trojan Trickbot está de volta em nova campanha de spam malicioso

“Este estágio contém uma grande bolha de dados que ele, primeiro, decodifica de seu valor numérico em texto e, em seguida, grava diretamente em uma série de chaves no Registro do Windows, na seção HKCU\Software”, diz a Sophos. A empresa diz que as últimas amostras do Gootloader usam o registro para armazenar duas cargas, um pequeno executável C # que é responsável por extrair um segundo executável dos dados armazenados no Registro do Windows. Este segundo executável é a carga final Gootloaders, um injetor .Net intermediário que implanta um malware baseado em Delphi usando a técnica de esvaziamento de processo.

Esse malware Delphi é o último elo na cadeia de infecção, pois inclui uma cópia criptografada do REvil, Gootkit, Cobalt Strike ou Kronos. Ele descriptografa a carga que carrega e a executa na memória.

Todas essas reviravoltas em cada estágio do ataque estão dando ao invasor algum tempo para realizar suas campanhas, pois os analistas de malware podem gastar muito tempo entendendo cada etapa da cadeia de infecção. A Sophos diz que existem várias variações para os métodos de entrega que envolvem scripts PowerShell adicionais, módulos Cobalt Strike ou executáveis injetores de código.

Os pesquisadores dizem que o uso de bloqueadores de script pode manter os usuários afastados dessa ameaça, pois podem impedir a substituição da página hackeada. No entanto, essa solução é popular com um pequeno número de usuários e um grande grupo de vítimas em potencial ainda permanece.A Sophos publicou uma análise técnica da cadeia de infecção do Gootloader e disponibiliza em sua página do GitHub indicadores de comprometimento e uma regra de Yara para seus arquivos JavaScript maliciosos.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório