Sommario
Una nuova variante del malware GootLoader, denominata GootBot, è stata scoperta per la sua capacità di muoversi lateralmente nei sistemi compromessi ed eludere il rilevamento.
Tattiche evasive: GootBot e il movimento laterale
GootBot rappresenta un cambiamento tattico per gli attacchi informatici, con il malware che viene scaricato come payload successivo a un’infezione da GootLoader, sostituendo framework di post-sfruttamento come CobaltStrike. Questo script PowerShell offuscato si connette a siti WordPress compromessi per il comando e controllo, ricevendo ulteriori comandi e rendendo difficile il blocco del traffico malevolo a causa dell’uso di un server C2 codificato univocamente per ogni campione di GootBot.
SEO poisoning: come GootLoader attira le vittime
Le campagne osservate sfruttano ricerche SEO avvelenate su temi come contratti, moduli legali o altri documenti aziendali, indirizzando le vittime verso siti compromessi che sembrano forum legittimi, dove vengono ingannate nel scaricare il payload iniziale sotto forma di file archivio.
Persistenza e propagazione: il doppio gioco di GootBot
Dopo l’esecuzione del file JavaScript offuscato, viene scaricato un altro file JavaScript che attiva un compito pianificato per garantire la persistenza. In seguito, il JavaScript è progettato per eseguire uno script PowerShell che raccoglie informazioni di sistema ed esfiltra i dati a un server remoto, il quale risponde con uno script PowerShell eseguito in un ciclo infinito, permettendo all’attaccante di distribuire vari payload.
Rischi e implicazioni: l’ombra di GootLoader
La scoperta di GootBot sottolinea fino a che punto gli attaccanti possano arrivare per evitare il rilevamento e operare in segreto, aumentando il rischio di fasi di post-sfruttamento riuscite, come le attività affiliate al ransomware legate a GootLoader.
