Pesquisa detalha os ataques de Gootkit em diversos países

Usando técnicas evasivas complexas, ataque implica em uma variedade de malwares, incluindo ransomware, para os Estados Unidos, Alemanha e Coreia

Compartilhar:

A Sophos acaba de publicar o estudo “Gootloader expande suas opções de entrega de carga útil”, que detalha como o método de entrega para o malware financeiro Gootkit foi desenvolvido em um sistema complexo e furtivo para uma ampla gama de malwares, incluindo ransomwares. Os pesquisadores chamaram a plataforma de “Gootloader”, responsável por entregar de forma ativa cargas maliciosas por meio de operações altamente direcionadas nos Estados Unidos, Alemanha e Coreia do Sul. As campanhas anteriores também tiveram como alvo os usuários da Internet na França.

 

A cadeia de performance do Gootloader começa com técnicas sofisticadas de engenharia social que envolvem sites hackeados, downloads maliciosos e otimização de mecanismo de pesquisa (SEO) manipulada. Dessa forma, quando alguém digita uma pergunta em um dispositivo de busca como o Google, por exemplo, os sites invadidos aparecem entre os principais resultados.

 

O estudo mostra ainda que os sites falsos são visualmente idênticos, independentemente de serem em inglês, alemão ou coreano e, para garantir que os alvos das localidades corretas sejam capturados, os cibercriminosos reescrevem o código do site “em movimento” para que os visitantes que se encontram fora dos países desejados vejam um conteúdo benigno da web, enquanto os do local certo recebem uma página com uma discussão falsa em um fórum sobre o tópico que eles consultaram anteriormente.

 

O fórum falso de discussão inclui uma postagem de um “administrador do site”, com um link para download contendo um arquivo Javascript malicioso. A partir disso, o ataque prossegue de forma secreta, usando uma ampla gama de complexas técnicas de evasão, várias camadas de ofuscação e fileless malware, injetado na memória ou no registro onde as varreduras de segurança convencionais não podem alcançá-lo.

 

Segundo Gabor Szappanos, diretor de pesquisa de ameaças da Sophos,  os desenvolvedores por trás do Gootkit possivelmente transferiram recursos e energia da entrega de seu próprio malware financeiro para a criação de uma plataforma complexa e furtiva para todos os tipos de cargas úteis. “Os cibercriminosos tendem a reutilizar suas soluções comprovadas em vez de desenvolver novos mecanismos de entrega. Além disso, ao invés de atacar ativamente as ferramentas de endpoint, como fazem alguns distribuidores de malware, os criadores do Gootloader optam por técnicas evasivas complexas que ocultam o resultado final”, comenta.

 

O diretor explica ainda que os criadores do golpe usam uma série de truques de engenharia social que podem enganar até mesmo usuários de TI qualificados e felizmente, existem alguns sinais de alerta que os usuários da Internet podem observar:“ Isso inclui resultados de pesquisa do Google que apontam para sites de empresas que não têm nenhuma conexão lógica com o conselho que parecem oferecer; aconselhamento que corresponda precisamente aos termos de pesquisa usados na pergunta inicial; e uma página no estilo de ‘quadro de mensagens’ que parece idêntica aos exemplos mostrados na pesquisa da Sophos, apresentando texto e um link de download que também corresponde precisamente aos termos de pesquisa usados na pesquisa inicial do Google” completa.

 

Contar com a melhor proteção contra ataques Gootloader é uma solução de segurança abrangente,capaz de verificar atividades suspeitas na memória e proteger contra fileless malwares. É o caso da solução Sophos Intercept X, que protege os usuários detectando as ações e comportamentos de malware como o Gootloader, Cobalt Strike ou o uso de suas técnicas de esvaziamento de processo para injetar malware em um sistema em execução.

 

Além disso, os usuários do Windows também podem desativar a configuração de exibição “Ocultar extensões para tipos de arquivos conhecidos” no explorador de arquivos do Windows, pois isso permitirá identificar que o download “.zip” entregue pelos invasores contém um outro arquivo com uma extensão “.js.” Já no Firefox, bloqueadores de script como o NoScript podem ajudar os internautas a permanecerem seguros, evitando que a substituição da página hackeada apareça em primeiro lugar.

Conteúdos Relacionados

Security Report | Overview

Vulnerabilidade permite espionagem a entidades de defesa no Oriente Médio, alerta relatório

Operação atribuída ao grupo Stealth Falcon explorou a CVE-2025-33053 para instalar malware furtivo via WebDAV; Microsoft corrigiu a vulnerabilidade no...
Security Report | Overview

Brasil lidera ranking de vazamento de dados com mais de 7 bilhões de registros, afirma pesquisa

Relatório aponta que 550 milhões de cookies brasileiros ainda estão ativos e podem ser usados por hackers para roubo de...
Security Report | Overview

GenAI será ferramenta crítica no enfrentamento de fraudes bancárias, alertam especialistas

Durante o Febraban Tech, marca da B3 apresentou novo recurso do Neoway Seeker, que usa GenAI para gerar resumos inteligentes...
Security Report | Overview

Organização anuncia novo VP LATAM, Fellipe Canale

Executivo retorna à companhia em que atuou como country manager entre 2020 e 2022