01 Mart 2023Ravie LakshmananTehdit İstihbaratı / Kötü Amaçlı Yazılım

Ocak ve Şubat 2023’te altı farklı hukuk firması, iki farklı tehdit kampanyasının bir parçası olarak hedef alındı. GootLoader Ve Sahte Güncellemeler (aka SocGholish) kötü amaçlı yazılım türleri.

GootLoader2020’nin sonlarından beri aktif olan, Cobalt Strike ve fidye yazılımı gibi çok çeşitli ikincil yükler sunabilen birinci aşama bir indiricidir.

İşle ilgili belgeler arayan kurbanları, JavaScript kötü amaçlı yazılımını bırakan arabadan indirme sitelerine yönlendirmek için özellikle arama motoru optimizasyonu (SEO) zehirlenmesi kullanır.

İçinde kampanya Siber güvenlik şirketi eSentire tarafından detaylandırılan, tehdit aktörlerinin meşru ancak savunmasız WordPress web sitelerini ele geçirdiği ve sahiplerinin bilgisi olmadan yeni blog gönderileri eklediği söyleniyor.

Ocak 2022’de eSentire araştırmacısı Keegan Keplinger, “Bilgisayar kullanıcısı bu kötü amaçlı web sayfalarından birine gidip sözde iş sözleşmesini indirmek için bağlantıya tıkladığında, bilmeden GootLoader’ı indiriyor” dedi.

GootLoader ve FakeUpdates Kötü Amaçlı Yazılımları

eSentire’den gelen açıklama, hedefleri ihlal etmek için Gootkit kötü amaçlı yazılım yükleyicisini kullanan bir saldırı dalgasının en sonuncusudur.

GootLoader, işletme profesyonellerini ve hukuk firması çalışanlarını hedef alan tek JavaScript kötü amaçlı yazılım değildir. Ayrı bir dizi saldırı da kullanılmasını gerektirmiştir. Sosyetikdaha fazla yürütülebilir dosya bırakabilen bir indiricidir.

Bulaşma zinciri, hukuk firmalarının uğrak yeri olan bir web sitesinden faydalanmak için daha da önemlidir. sulama deliği Kötü amaçlı yazılımı dağıtmak için.

İkiz izinsiz girişin bir başka göze çarpan yönü, fidye yazılımı dağıtımının olmaması, bunun yerine uygulamalı etkinliğin tercih edilmesi, saldırıların kapsamının casusluk operasyonlarını içerecek şekilde çeşitlendirilebileceğini düşündürüyor.

Keplinger, “2021’den önce e-posta, fırsatçı tehdit aktörleri tarafından kullanılan birincil bulaşma vektörüydü” dedi. 2021’den 2023’e tarayıcı tabanlı saldırılar […] birincil bulaşma vektörü olarak e-posta ile rekabet edecek şekilde istikrarlı bir şekilde büyüyor.”

“Bu, büyük ölçüde GootLoader, SocGholish, SolarMarker ve Google Ads’den yararlanarak en iyi arama sonuçlarını gösteren son kampanyalar sayesinde oldu.”



siber-2