Seis bufetes de abogados diferentes fueron atacados en enero y febrero de 2023 como parte de dos campañas de amenazas dispares que distribuyeron GootLoader y Actualizaciones falsas (también conocido como SocGholish) cepas de malware.
GootLoaderactivo desde finales de 2020, es un descargador de primera etapa capaz de entregar una amplia gama de cargas útiles secundarias como Cobalt Strike y ransomware.
En particular, emplea el envenenamiento por optimización de motores de búsqueda (SEO) para canalizar a las víctimas que buscan documentos relacionados con el negocio hacia sitios de descargas ocultas que eliminan el malware JavaScript.
En el campaña detallado por la compañía de seguridad cibernética eSentire, se dice que los actores de amenazas comprometieron sitios web de WordPress legítimos, pero vulnerables, y agregaron nuevas publicaciones de blog sin el conocimiento de los propietarios.
“Cuando el usuario de la computadora navega a una de estas páginas web maliciosas y presiona el enlace para descargar el supuesto acuerdo comercial, sin saberlo, está descargando GootLoader”, dijo el investigador de eSentire Keegan Keplinger en enero de 2022.
La divulgación de eSentire es la última de una ola de ataques que han utilizado el cargador de malware Gootkit para violar objetivos.
GootLoader está lejos de ser el único malware de JavaScript dirigido a profesionales de negocios y empleados de bufetes de abogados. Un conjunto separado de ataques también ha implicado el uso de SocGholishque es un descargador capaz de soltar más ejecutables.
La cadena de infección es aún más importante para aprovechar un sitio web frecuentado por firmas legales como abrevadero para distribuir el malware.
Otro aspecto destacado de los conjuntos de intrusión gemelos en ausencia de implementación de ransomware, en lugar de favorecer la actividad práctica, sugiere que los ataques podrían haberse diversificado en alcance para incluir operaciones de espionaje.
“Antes de 2021, el correo electrónico era el principal vector de infección utilizado por los actores de amenazas oportunistas”, dijo Keplinger. De 2021 a 2023, ataques basados en navegador […] han ido creciendo constantemente para competir con el correo electrónico como principal vector de infección”.
“Esto ha sido en gran parte gracias a GootLoader, SocGholish, SolarMarker y campañas recientes que aprovechan los anuncios de Google para mostrar los mejores resultados de búsqueda”.