Una nuova variante del malware Gootloader, individuata negli ultimi giorni, sta preoccupando gli esperti di sicurezza.
L’agente malevolo in questione, già catalogato nel 2021 dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti come una delle principali minacce online, si è reso protagonista già di un’intensa campagna nel corso della scorsa estate. In passato Gootloader veniva sfruttato come vettore di accesso iniziale capace di diffondere altri famigerati malware, come Cobalt Strike, IcedID o SystemBC.
Nella giornata di ieri, i ricercatori di IBM X-Force hanno però notato un comportamento anomalo di questo agente malevolo. Lo stesso, pur utilizzando tecniche di infezione simili a quelle delle precedenti versioni, ora sembra diffondersi come un tool scaricato dopo un’infezione iniziale, capace di recepire comandi da un server remoto tramite PowerShell crittografati.
Gootloader sfrutta tecniche di SEO Poisoning e siti WordPress compromessi per diffondersi
Secondo Golo Mühr e Ole Villadsen di IBM X-Force “L’introduzione da parte del gruppo Gootloader di un proprio bot personalizzato nelle fasi finali della catena di attacco è un tentativo di evitare rilevamenti quando si utilizzano strumenti standard per C2 come CobaltStrike o RDP“.
Per gli stessi esperti “Questa nuova variante è un malware leggero ma efficace che consente agli aggressori di diffondersi rapidamente in tutta la rete e distribuire ulteriori payload“. Per quanto riguarda le tecniche di diffusione, si parla prevalentemente di SEO Poisoning, con siti Web compromessi sfruttati per spingere le vittime a scaricare il payload che avvia l’infezione.
I ricercatori hanno presto compreso come Gootloader sia difficile da bloccare. Mühr e Villadsen hanno chiarito come “Gli impianti GootBot, ognuno dei quali contiene un diverso server C2 in esecuzione su un sito WordPress compromesso, si sono diffusi in gran numero nei domini aziendali infetti nella speranza di raggiungere un controller di dominio“.
L’uso di tecniche come il SEO Poisoning abbinato a i siti WordPress compromessi non è una novità per il gruppo responsabile di questo malware. Questo collettivo, infatti, è attivo dal 2014 e più volte ha sfruttato i motori di ricerca nelle sue strategie di infezione, oltre ad aver adottato anche strategie ransomware durante le loro attività criminose.