Pesquisa detalha os ataques de Gootkit em diversos países

Usando técnicas evasivas complexas, ataque implica em uma variedade de malwares, incluindo ransomware, para os Estados Unidos, Alemanha e Coreia

Compartilhar:

A Sophos acaba de publicar o estudo “Gootloader expande suas opções de entrega de carga útil”, que detalha como o método de entrega para o malware financeiro Gootkit foi desenvolvido em um sistema complexo e furtivo para uma ampla gama de malwares, incluindo ransomwares. Os pesquisadores chamaram a plataforma de “Gootloader”, responsável por entregar de forma ativa cargas maliciosas por meio de operações altamente direcionadas nos Estados Unidos, Alemanha e Coreia do Sul. As campanhas anteriores também tiveram como alvo os usuários da Internet na França.

 

A cadeia de performance do Gootloader começa com técnicas sofisticadas de engenharia social que envolvem sites hackeados, downloads maliciosos e otimização de mecanismo de pesquisa (SEO) manipulada. Dessa forma, quando alguém digita uma pergunta em um dispositivo de busca como o Google, por exemplo, os sites invadidos aparecem entre os principais resultados.

 

O estudo mostra ainda que os sites falsos são visualmente idênticos, independentemente de serem em inglês, alemão ou coreano e, para garantir que os alvos das localidades corretas sejam capturados, os cibercriminosos reescrevem o código do site “em movimento” para que os visitantes que se encontram fora dos países desejados vejam um conteúdo benigno da web, enquanto os do local certo recebem uma página com uma discussão falsa em um fórum sobre o tópico que eles consultaram anteriormente.

 

O fórum falso de discussão inclui uma postagem de um “administrador do site”, com um link para download contendo um arquivo Javascript malicioso. A partir disso, o ataque prossegue de forma secreta, usando uma ampla gama de complexas técnicas de evasão, várias camadas de ofuscação e fileless malware, injetado na memória ou no registro onde as varreduras de segurança convencionais não podem alcançá-lo.

 

Segundo Gabor Szappanos, diretor de pesquisa de ameaças da Sophos,  os desenvolvedores por trás do Gootkit possivelmente transferiram recursos e energia da entrega de seu próprio malware financeiro para a criação de uma plataforma complexa e furtiva para todos os tipos de cargas úteis. “Os cibercriminosos tendem a reutilizar suas soluções comprovadas em vez de desenvolver novos mecanismos de entrega. Além disso, ao invés de atacar ativamente as ferramentas de endpoint, como fazem alguns distribuidores de malware, os criadores do Gootloader optam por técnicas evasivas complexas que ocultam o resultado final”, comenta.

 

O diretor explica ainda que os criadores do golpe usam uma série de truques de engenharia social que podem enganar até mesmo usuários de TI qualificados e felizmente, existem alguns sinais de alerta que os usuários da Internet podem observar:“ Isso inclui resultados de pesquisa do Google que apontam para sites de empresas que não têm nenhuma conexão lógica com o conselho que parecem oferecer; aconselhamento que corresponda precisamente aos termos de pesquisa usados na pergunta inicial; e uma página no estilo de ‘quadro de mensagens’ que parece idêntica aos exemplos mostrados na pesquisa da Sophos, apresentando texto e um link de download que também corresponde precisamente aos termos de pesquisa usados na pesquisa inicial do Google” completa.

 

Contar com a melhor proteção contra ataques Gootloader é uma solução de segurança abrangente,capaz de verificar atividades suspeitas na memória e proteger contra fileless malwares. É o caso da solução Sophos Intercept X, que protege os usuários detectando as ações e comportamentos de malware como o Gootloader, Cobalt Strike ou o uso de suas técnicas de esvaziamento de processo para injetar malware em um sistema em execução.

 

Além disso, os usuários do Windows também podem desativar a configuração de exibição “Ocultar extensões para tipos de arquivos conhecidos” no explorador de arquivos do Windows, pois isso permitirá identificar que o download “.zip” entregue pelos invasores contém um outro arquivo com uma extensão “.js.” Já no Firefox, bloqueadores de script como o NoScript podem ajudar os internautas a permanecerem seguros, evitando que a substituição da página hackeada apareça em primeiro lugar.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Perdas por fraudes digitais relacionadas a IA chegam a quase R$ 5 bilhões, aponta estudo

Com o avanço do uso de Inteligência Artificial em tentativas de fraude, banco Itaú Unibanco destaca medidas de proteção e...
Security Report | Overview

Quais os riscos de confiar em diagnóstico médico gerado por IA?

Especialistas alertam para riscos de diagnósticos incorretos, vazamento de dados e uso indevido de informações médicas em plataformas de inteligência...
Security Report | Overview

Invasão à Defesa Civil acende alerta sobre o perigo do roubo de credenciais

Caso Misantropia levanta discussões sobre o uso indevido de acessos legítimos e os riscos Cibernéticos associados a plataformas de emergência...
Security Report | Overview

Estudo aponta que falta de investimento em SI trava contratações e eleva prejuízos de ataques

Relatório Global de 2026 revela que quase metade dos líderes de TI enfrenta resistência para abrir vagas, enquanto criminosos usam...