网络犯罪分子积极使用名为 GootLoader 的恶意软件向受感染的设备发送更多恶意软件。
根据Cybereason最近的分析,
(https://www.cybereason.com/blog/i-am-goot-loader)GootLoader 的更新已导致多个变种的出现,其中 GootLoader 3 目前最为活跃。尽管细节有所变化,但该恶意软件的感染策略和整体功能仍与 2020 年首次部署时相似。
GootLoader本身是一个恶意软件加载器,是Gootkit银行木马的一个组件,与Hive0127组织(又名UNC2565)关系密切,该软件利用JavaScript加载后漏洞利用工具,通过SEO投毒的方式进行传播。
GootLoader 经常被用来传播各种恶意程序,例如 Cobalt Strike、Gootkit、IcedID、Kronos、REvil 和 SystemBC。几个月前,GootLoader 背后的犯罪分子还发布了自己的命令控制和横向移动工具 GootBot,这表明他们的活动范围正在扩大,以获取更大的经济利益。
攻击链包括入侵网站,将伪装成合法文档和协议的恶意 GootLoader JavaScript 代码托管其中。当此类文件在 Windows 中执行时,会创建一个计划任务以保持持久性,并执行额外的 PowerShell 脚本来收集系统信息并等待进一步的指令。
Cybereason 的安全研究人员指出,托管用于感染的存档文件的恶意网站采用 SEO 技术来吸引搜索商业文件(例如合同模板或法律文件)的受害者。
这些攻击还因使用源代码编码方法、控制流混淆和增加有效载荷大小来对抗分析和检测而引人注目。另一种有趣的技术是将恶意软件嵌入合法的 JavaScript 库文件中,例如 jQuery、Lodash、Maplace.js 和 tui-chart。
研究人员断言,GootLoader 的最新更新使其变得更加隐蔽和具有躲避性,威胁比以前大得多。为了防范此类网络威胁,定期更新软件、使用可靠的防病毒解决方案以及在打开来自未经验证的来源的文件时保持谨慎至关重要。
原文始发于微信公众号(独眼情报):GootLoader 恶意软件不断演变,仍通过 SEO 投毒造成严重破坏
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论