En una campaña inusualmente específica, los usuarios que buscan información sobre la legalidad de los gatos de Bengala en Australia reciben el mensaje GootLoader malware.
“En este caso, encontramos que los actores de GootLoader utilizan resultados de búsqueda para obtener información sobre un gato en particular y una geografía particular que se utiliza para entregar la carga útil: ‘¿Son legales los gatos de Bengala en Australia?'”, investigadores de Sophos Trang Tang, Hikaru Koike, Asha Castillo y Sean Gallagher dicho en un informe publicado la semana pasada.
GootLoader, como su nombre lo indica, es un cargador de malware que generalmente se distribuye mediante tácticas de envenenamiento de optimización de motores de búsqueda (SEO) para el acceso inicial.
Específicamente, el malware se implementa en las máquinas de las víctimas cuando se buscan ciertos términos, como documentos legales y acuerdos, en motores de búsqueda como Google, aparecen enlaces trampa que apuntan a sitios web comprometidos que alojan un archivo ZIP que contiene una carga útil de JavaScript.
Una vez instalado, deja paso a un malware de segunda etapa, a menudo un troyano ladrón de información y acceso remoto denominado GootKit, aunque también se ha observado que entrega otras familias como Cobalt Strike, IcedID, Kronos, REvil y SystemBC en el pasado durante post-explotación.
La última cadena de ataques no es diferente en el sentido de que las búsquedas de “¿Necesita una licencia para tener un gato de Bengala en Australia?” muestran resultados que incluyen un enlace a un sitio web legítimo pero infectado que pertenece a un fabricante de pantallas LED con sede en Bélgica, de donde se solicita a las víctimas que descarguen un archivo ZIP.
Dentro del archivo ZIP hay un archivo JavaScript que luego es responsable de iniciar una cadena de ataque de varias etapas que culmina con la ejecución de un script de PowerShell capaz de recopilar información del sistema y recuperar cargas útiles adicionales. Vale la pena señalar que Cybereason documentó una campaña idéntica a principios de julio.
Sophos dijo que no observó la implementación de GootKit en el caso analizado por la compañía, lo que impidió la descarga de malware adicional.
“GootLoader es una de varias operaciones continuas de entrega de malware como servicio que aprovechan en gran medida los resultados de búsqueda como medio para llegar a las víctimas”, dijeron los investigadores. “El uso de la optimización de motores de búsqueda y el abuso de la publicidad en motores de búsqueda para atraer a los objetivos a descargar cargadores y cuentagotas de malware no son nuevos; GootLoader ha estado haciendo esto desde al menos 2020”.