Gookit all’attacco di organizzazioni sanitarie e finanziarie

Il malware Gootkit sta attaccando in modo prominente organizzazioni sanitarie e finanziarie negli Stati Uniti, Regno Unito e Australia, secondo nuove scoperte di Cybereason. La società di cybersecurity ha dichiarato di aver indagato su un incidente di Gootkit nel dicembre 2022 che ha adottato un nuovo metodo di distribuzione, con gli attori che abusano del punto di accesso per consegnare Cobalt Strike e SystemBC per la post-esplorazione. Gootkit, chiamato anche Gootloader, è esclusivamente attribuito a un attore minaccioso tracciato da Mandiant come UNC2565. Avendo iniziato la sua vita nel 2014 come cavallo di Troia bancario, il malware si è trasformato in un caricatore in grado di consegnare carichi utili di prossima generazione. L’ultima ondata è anche notevole per la sua capacità di nascondere il codice maligno all’interno di librerie JavaScript legittime come jQuery, Chroma.js, Sizzle.js e Underscore.js, che viene quindi utilizzato per generare un payload JavaScript secondario di 40 MB che stabilisce la persistenza e lancia il malware. La catena di attacco si basa sull’ingannare le vittime che cercano accordi e contratti su DuckDuckGo e Google verso la pagina web booby-trapped, che alla fine porta alla distribuzione di Gootloader. Questa scoperta arriva in mezzo alla tendenza in corso di abusare di Google Ads da parte degli operatori di malware come vettore di intrusione per distribuire una varietà di malware come FormBook, IcedID, RedLine, Rhadamanthys e Vidar. L’evoluzione di Gootloader in un caricatore sofisticato riflette ulteriormente come gli attori minacciosi stiano costantemente cercando nuovi bersagli e metodi per massimizzare i loro profitti tramite la transizione verso un modello di malware-come-servizio (MaaS) e vendendo questo accesso ad altri criminali.