Die Gootkit-Malware hat es nach neuen Erkenntnissen von Cybereason vor allem auf Gesundheits- und Finanzunternehmen in den USA, Großbritannien und Australien abgesehen.
Das Cybersicherheitsunternehmen erklärte, es habe einen Gootkit-Vorfall im Dezember 2022 untersucht, bei dem eine neue Methode der Bereitstellung angewandt wurde, wobei die Akteure das Standbein missbrauchten, um Cobalt Strike und SystemBC für eine nachträgliche Ausbeutung zu liefern.
„Der Bedrohungsakteur zeigte ein schnelles Verhalten, indem er sich schnell auf den Weg machte, um das infizierte Netzwerk zu kontrollieren und in weniger als 4 Stunden erhöhte Privilegien zu erhalten“, so Cybereason in einer am 8. Februar 2023 veröffentlichten Analyse.
Gootkit, auch Gootloader genannt, wird ausschließlich einem Bedrohungsakteur zugeschrieben, der von Mandiant als UNC2565 identifiziert wurde. Die Malware, die 2014 als Banking-Trojaner begann, hat sich seitdem zu einem Loader entwickelt, der die nächste Stufe der Nutzlast liefern kann.
Die Änderung der Taktik wurde erstmals im März 2021 von Sophos aufgedeckt. Gootloader hat die Form von stark verschleierten JavaScript-Dateien, die über kompromittierte WordPress-Websites bereitgestellt werden, die durch Poisoning-Techniken in den Suchmaschinenergebnissen höher platziert werden.
Die Angriffskette beruht darauf, dass Opfer, die auf DuckDuckGo und Google nach Vereinbarungen und Verträgen suchen, auf die mit einer Sprengfalle versehene Webseite gelockt werden, was letztlich zur Bereitstellung von Gootloader führt.
Die neueste Welle ist auch auffällig, weil der bösartige Code in legitimen JavaScript-Bibliotheken wie jQuery, Chroma. js, Sizzle.js und Underscore.js, die dann verwendet werden, um eine sekundäre 40 MB große JavaScript-Nutzlast zu erzeugen, die Persistenz herstellt und die Malware startet.
In dem von Cybereason untersuchten Vorfall soll die Gootloader-Infektion den Weg für Cobalt Strike und SystemBC geebnet haben, um laterale Bewegungen und mögliche Datenexfiltration durchzuführen. Der Angriff wurde letztlich vereitelt.
Die Enthüllung erfolgt inmitten des anhaltenden Trends, dass Google Ads von Malware-Betreibern als Intrusionsvektor zur Verbreitung einer Vielzahl von Malware wie FormBook, IcedID, RedLine, Rhadamanthys und Vidar missbraucht werden.
Die Entwicklung von Gootloader zu einem ausgefeilten Loader ist ein weiteres Beispiel dafür, wie Bedrohungsakteure ständig nach neuen Zielen und Methoden suchen, um ihre Gewinne zu maximieren, indem sie auf ein Malware-as-a-Service (MaaS)-Modell umsteigen und diesen Zugang an andere Kriminelle verkaufen.