Вредоносное ПО Gootkit вернулось с новыми методами атаки

Операторы вредоносного ПО Gootkit Loader, работающие по модели «доступ как услуга» ( Access-as-a-Service, AaaS ) вновь представили обновленные методы незаметной компрометации жертв. Согласно отчету Trend Micro , раньше Gootkit использовал бесплатные установщики для маскировки вредоносных файлов, а теперь он использует юридические документы, чтобы заставить пользователя загружать эти файлы.

Цепочка заражения Gootkit Loader

Gootkit является частью разрастающейся AaaS-модели, которая за определенную плату предоставляет другим хакерам доступ к корпоративным сетям, прокладывая путь для дальнейших вредоносных атак.

Загрузчик использует метод отравления SEO , показывая вредоносные результаты поисковой системы, чтобы заманить ничего не подозревающего пользователя на скомпрометированный веб-сайт. На зараженном сайте размещены ZIP-файлы с вредоносным ПО, предположительно связанные с соглашениями о раскрытии информации о сделках с недвижимостью. ZIP-файл запускает JavaScript-файл, который загружает двоичный файл Cobalt Strike .

«Сочетание SEO-отравления и скомпрометированного веб-сайта может маскировать признаки вредоносной активности, которые обычно заставляют пользователя быть начеку», — отметили исследователи.

По словам экспертов, операторы Gootkit ещё будут совершенствовать инструменты компрометации. Более того, другие злоумышленники, продолжают использовать описанный метод в своих атаках.