Die Betreiber der Gootkit Access-as-a-Service (AaaS)-Malware sind mit aktualisierten Techniken wieder aufgetaucht, um ahnungslose Opfer zu gefährden.
„In der Vergangenheit nutzte Gootkit Freeware-Installationsprogramme, um bösartige Dateien zu verschleiern. Jetzt verwendet es legale Dokumente, um Nutzer zum Herunterladen dieser Dateien zu verleiten“, so die Trend Micro Forscher Buddy Tancio und Jed Valderama in einem Bericht von letzter Woche.
Die Ergebnisse bauen auf einem früheren Bericht von eSentire auf, der im Januar über weit verbreitete Angriffe auf Mitarbeiter von Wirtschaftsprüfungs- und Anwaltskanzleien berichtete, um Malware auf infizierten Systemen zu installieren.
Gootkit ist Teil des sich ausbreitenden Untergrund-Ökosystems der Access Broker, die dafür bekannt sind, anderen böswilligen Akteuren gegen Bezahlung einen Weg in Unternehmensnetzwerke zu bahnen und so den Weg für tatsächliche schädliche Angriffe wie Ransomware zu ebnen.
Der Loader nutzt bösartige Suchmaschinenergebnisse, eine Technik, die als SEO Poisoning bezeichnet wird, um ahnungslose Nutzer auf kompromittierte Websites zu locken, auf denen mit Malware verseuchte ZIP-Paketdateien zu finden sind, die angeblich mit Offenlegungsverträgen für Immobilientransaktionen in Verbindung stehen.
„Die Kombination aus SEO-Poisoning und kompromittierten legitimen Websites kann Hinweise auf bösartige Aktivitäten verschleiern, die die Nutzer normalerweise auf der Hut sein lassen würden“, so die Forscher.
Die ZIP-Datei enthält ihrerseits eine JavaScript-Datei, die eine Cobalt Strike-Binärdatei lädt, ein Tool, das für Post-Exploitation-Aktivitäten verwendet wird und ohne Datei direkt im Speicher läuft.
„Gootkit ist immer noch aktiv und verbessert seine Techniken“, so die Forscher. „Das deutet darauf hin, dass sich diese Operation als effektiv erwiesen hat, denn andere Bedrohungsakteure scheinen sie weiterhin zu nutzen.“