Alışılmadık derecede spesifik bir kampanyada, Avustralya’da Bengal Kedilerinin yasallığı hakkında arama yapan kullanıcılar şu şekilde hedefleniyor: GootLoader kötü amaçlı yazılım.
Sophos araştırmacıları Trang Tang, Hikaru Koike, Asha, “Bu durumda, GootLoader aktörlerinin belirli bir kedi ve belirli bir coğrafya hakkında bilgi almak için arama sonuçlarını kullanarak yükü iletmek için kullanıldığını gördük: ‘Bengal Kedileri Avustralya’da yasal mı?'” Kale ve Sean Gallagher söz konusu Geçen hafta yayınlanan bir raporda.
GootLoader, adından da anlaşılacağı gibi, ilk erişim için genellikle arama motoru optimizasyonu (SEO) zehirleme taktikleri kullanılarak dağıtılan bir kötü amaçlı yazılım yükleyicisidir.
Özellikle, kötü amaçlı yazılım, JavaScript yükü içeren bir ZIP arşivi barındıran güvenliği ihlal edilmiş web sitelerine işaret eden Google yüzeyindeki bubi tuzaklı bağlantılar gibi arama motorlarında yasal belgeler ve anlaşmalar gibi belirli terimleri ararken kurban makinelerine dağıtılıyor.
Kurulduktan sonra, genellikle GootKit adı verilen bir bilgi hırsızı ve uzaktan erişim truva atı olan ikinci aşama bir kötü amaçlı yazılımın yolunu açar; ancak geçmişte Cobalt Strike, IcedID, Kronos, REvil ve SystemBC gibi diğer aileleri de dağıttığı gözlemlenmiştir. sömürü sonrası.
En son saldırı zinciri, “Avustralya’da bir Bengal kedisi sahibi olmak için lisansa ihtiyacınız var mı?” aramalarının Belçika merkezli bir LED ekran üreticisine ait meşru ancak virüs bulaşmış bir web sitesine bağlantı içeren yüzey sonuçları açısından da farklı değil. kurbanlardan bir ZIP arşivi indirmelerinin istendiği yer.
ZIP arşivinde, sistem bilgilerini toplayabilen ve ek yükler getirebilen bir PowerShell betiğinin yürütülmesiyle sonuçlanan çok aşamalı bir saldırı zincirini başlatmaktan sorumlu olan bir JavaScript dosyası bulunur. Benzer bir kampanyanın bu Temmuz ayı başlarında Cybereason tarafından belgelendiğini belirtmekte fayda var.
Sophos, şirketin analiz ettiği vakada GootKit’in dağıtımını gözlemlemediğini, dolayısıyla ek kötü amaçlı yazılımların indirilmesini önlediğini söyledi.
Araştırmacılar, “GootLoader, kurbanlara ulaşmak için bir araç olarak arama sonuçlarından yoğun şekilde yararlanan, devam eden bir dizi hizmet olarak kötü amaçlı yazılım dağıtım operasyonundan biridir” dedi. “Hedefleri kötü amaçlı yazılım yükleyicileri ve bırakıcıları indirmeye çekmek için arama motoru optimizasyonunun kullanılması ve arama motoru reklamlarının kötüye kullanılması yeni değil; GootLoader bunu en az 2020’den beri yapıyor.”
