Eine Welle von Gootkit-Malware-Loader-Angriffen hat das australische Gesundheitswesen ins Visier genommen, indem sie legitime Tools wie den VLC Media Player ausnutzten.
Gootkit, auch Gootloader genannt, ist dafür bekannt, dass es Suchmaschinenoptimierung (SEO) einsetzt, um sich Zugang zu verschaffen (auch bekannt als Spamdexing). In der Regel funktioniert das Gootkit, indem es legitime Infrastrukturen kompromittiert und missbraucht und diese Websites mit gängigen Schlüsselwörtern verseucht.
Wie andere Malware dieser Art ist Gootkit in der Lage, Daten aus dem Browser zu stehlen, AitB-Angriffe (Adversary-in-the-Browser) durchzuführen, Keylogging zu betreiben, Screenshots zu erstellen und andere bösartige Aktionen durchzuführen.
Die neuen Erkenntnisse von Trend Micro zeigen, dass die Schlüsselwörter „Hospital“, „Health“, „Medical“ und „Enterprise Agreement“ mit verschiedenen Städtenamen in Australien gepaart wurden, was darauf hindeutet, dass sich die Malware über Buchhaltungs- und Anwaltskanzleien hinaus ausbreitet.
Der Ausgangspunkt des Cyberangriffs besteht darin, dass Nutzer, die nach denselben Schlüsselwörtern suchen, auf einen infizierten WordPress-Blog geleitet werden, der sie dazu verleitet, mit Malware verseuchte ZIP-Dateien herunterzuladen.
„Beim Zugriff auf die Seite wird dem Nutzer ein Bildschirm präsentiert, der wie ein legitimes Forum aussieht“, so die Trend Micro Forscher. „Die Nutzer werden dazu verleitet, auf den Link zuzugreifen, damit die bösartige ZIP-Datei heruntergeladen werden kann.
Darüber hinaus wird der JavaScript-Code, der für diesen Trick verwendet wird, in eine gültige JavaScript-Datei an zufälligen Stellen auf der angegriffenen Website eingefügt.
Das heruntergeladene ZIP-Archiv enthält seinerseits eine JavaScript-Datei, die bei der Ausführung nicht nur verschleiert wird, um einer Analyse zu entgehen, sondern auch, um mit Hilfe eines geplanten Tasks eine Persistenz auf dem Rechner herzustellen.
Die Ausführungskette führt anschließend zu einem PowerShell-Skript, das Dateien von einem entfernten Server abruft, um die Aktivitäten nach der Ausbeutung zu starten.
„Diese Wartezeit, die die erste Phase der Infektion deutlich von der zweiten Phase trennt, ist ein charakteristisches Merkmal der Funktionsweise des Gootkit-Laders“, so die Forscher.
Sobald die Wartezeit verstrichen ist, werden zwei zusätzliche Nutzdaten abgelegt – msdtc.exe und libvlc.dll – wobei es sich bei ersterer um eine legitime VLC Media Player-Binärdatei handelt, die zum Laden der Cobalt Strike DLL-Komponente verwendet wird, gefolgt vom Download weiterer Tools, die die Entdeckung erleichtern.
„Die böswilligen Akteure hinter [Gootkit] setzen ihre Kampagne aktiv um“, so die Forscher. „Die Bedrohungen, die auf bestimmte Berufszweige, Branchen und geografische Gebiete abzielen, werden immer aggressiver.