多功能载荷Gootloader平台悄悄地提供恶意软件和勒索软件

六年历史的Gootkit金融恶意软件的交付方法已开发成一个复杂和隐形的送货系统,适用于各种恶意软件,包括勒索软件。 Sophos研究人员已命名为平台Gootloader。它正在积极通过美国,德国和韩国紧密有针对性的运营提供恶意有效载荷。以前的广告系列也针对了法国的互联网用户。

Gootloader.

Gootloader.感染链始于复杂的社会工程技术,涉及黑客攻击的网站,恶意下载和操纵搜索引擎优化(SEO)。当某人将问题类型分成搜索引擎(如Google)时,Hacked网站出现在最佳结果中。

为了确保捕获正确的地理位置的目标,对手重写网站代码“在GO上”,以便落在所需国家之外的网站访问者出现良性的网页内容,而来自正确的位置的人则显示了一个具有假讨论的页面他们查询的主题论坛。无论它们是英文,德语还是韩语,假网站都在视觉上相同。

假讨论论坛包括来自“站点管理员”的帖子,其中包含下载的链接。下载是一个恶意JavaScript文件,它发起了下一个妥协阶段。

从这一点开始,攻击accktly,使用广泛的复杂逃避技术,多个混淆层,并注入内存的无纺布恶意软件或传统安全扫描无法达到的注册表。 Gootloader目前正在德国提供Kronos金融恶意软件,以及美国和韩国的开发后工具,钴罢工。它还提供了Revil Ransomware和Gootkit木马本身。

“Gootkit背后的开发人员似乎已经转移了资源和能源,从提供自己的金融恶意软件,为各种有效载荷创造一个隐秘的复杂交付平台,包括瑞士赎金软件,” gabor szappanos.,Sophos威胁研究总监。 “这表明犯罪分子倾向于重用其经过验证的解决方案而不是开发新的交付机制。此外,而不是主动攻击端点工具作为一些恶意软件分销商,Gootloader的创建者已经选择了隐藏最终结果的复杂犹太技术。

“Gootloader的创造者使用许多社交工程技巧,可以欺骗技术熟练的IT用户。幸运的是,有一些警告标志互联网用户可以留意。这些包括谷歌搜索结果,指向与他们看似提供的建议没有逻辑连接的业务网站;正常匹配初始问题中使用的搜索项的建议;和“消息板的样式页面”,它们看起来与Sophos Research中所示的示例相同,其中包含文本和下载链接,该链接也精确地匹配了初始Google搜索中使用的搜索项。“

对Gootloader攻击的最佳整体保护是一个全面的安全解决方案,可以扫描内存中的可疑活动并防止 无用的恶意软件。 Windows用户也可以关闭 “隐藏已知文件类型的扩展” 在Windows文件资源管理器中查看设置,因为这将允许它们查看由攻击者提供的.zip下载包含具有.js扩展名的文件。脚本阻止者(如Firefox的NoScript)可以通过防止替换被黑客网页首先出现,帮助Web冲浪者保持安全。

第一阶段JavaScript文件被检测为:AMSI / Gootldr-A。 PowerShell装载机被检测为:AMSI /反射-H。研究人员已经发布了妥协指标 索菲斯labs GitHub..

分享这个