Una ola de ataques del cargador de malware Gootkit se ha dirigido al sector de la salud australiano al aprovechar herramientas legítimas como VLC Media Player.
Gootkit, también llamado Gootloader, es conocido a emplear tácticas de envenenamiento de optimización de motores de búsqueda (SEO) (también conocido como spamdexing) para el acceso inicial. Por lo general, funciona al comprometer y abusar de la infraestructura legítima y al sembrar esos sitios con palabras clave comunes.
Al igual que otros programas maliciosos de este tipo, Gootkit es capaz de robar datos del navegador, realizar ataques de adversario en el navegador (AitB), registrar teclas, tomar capturas de pantalla y otras acciones maliciosas.
Trend Micro nuevos hallazgos revelan que las palabras clave “hospital”, “salud”, “médico” y “acuerdo empresarial” se han emparejado con varios nombres de ciudades en Australia, lo que marca la expansión de un malware más allá de los bufetes de abogados y contables.
El punto de partida del ataque cibernético es dirigir a los usuarios que buscan las mismas palabras clave a un blog de WordPress infectado que los engaña para que descarguen archivos ZIP con malware.
“Al acceder al sitio, al usuario se le presenta una pantalla que se ha diseñado para parecerse a un foro legítimo”, dijeron los investigadores de Trend Micro. “Los usuarios deben acceder al enlace para que se pueda descargar el archivo ZIP malicioso”.
Además, el código JavaScript que se usa para realizar este truco se inyecta en un archivo JavaScript válido en secciones aleatorias del sitio web violado.
El archivo ZIP descargado, por su parte, también contiene un archivo JavaScript que, al ejecutarse, no solo emplea la ofuscación para evadir el análisis, sino que también se usa para establecer la persistencia en la máquina por medio de una tarea programada.
Posteriormente, la cadena de ejecución conduce a un script de PowerShell que está diseñado para recuperar archivos de un servidor remoto para la actividad posterior a la explotación, que comienza solo después de un período de espera que va desde un par de horas hasta dos días.
“Esta latencia, que separa claramente la etapa de infección inicial de la segunda etapa, es una característica distintiva del funcionamiento del cargador de Gootkit”, dijeron los investigadores.
Una vez que transcurre el tiempo de espera, se eliminan dos cargas útiles adicionales: msdtc.exe y libvlc.dll, la primera de las cuales es un binario legítimo de VLC Media Player que se usa para cargar el componente Cobalt Strike DLL, seguido de la descarga de más herramientas para facilitar el descubrimiento.
“Los actores maliciosos detrás [Gootkit] están implementando activamente su campaña”, dijeron los investigadores. “Las amenazas dirigidas a sectores laborales, industrias y áreas geográficas específicas se están volviendo más agresivas”.