{"id":1034799,"date":"2023-11-07T13:37:07","date_gmt":"2023-11-07T13:37:07","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-nueva-variante-de-malware-gootloader-evade-la-deteccion-y-se-propaga-rapidamente\/"},"modified":"2023-11-07T13:37:11","modified_gmt":"2023-11-07T13:37:11","slug":"la-nueva-variante-de-malware-gootloader-evade-la-deteccion-y-se-propaga-rapidamente","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-nueva-variante-de-malware-gootloader-evade-la-deteccion-y-se-propaga-rapidamente\/","title":{"rendered":"La nueva variante de malware GootLoader evade la detecci\u00f3n y se propaga r\u00e1pidamente"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>07 de noviembre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad de terminales\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha descubierto que una nueva variante del malware GootLoader llamada GootBot facilita el movimiento lateral en sistemas comprometidos y evade la detecci\u00f3n.<\/p>\n

“La introducci\u00f3n por parte del grupo GootLoader de su propio bot personalizado en las \u00faltimas etapas de su cadena de ataque es un intento de evitar detecciones cuando se utilizan herramientas disponibles para C2 como CobaltStrike o RDP”, dijeron los investigadores de IBM X-Force Golo M\u00fchr y Ole. Villadsen dicho<\/a>.<\/p>\n

“Esta nueva variante es un malware ligero pero eficaz que permite a los atacantes propagarse r\u00e1pidamente por la red y desplegar m\u00e1s cargas \u00fatiles”.<\/p>\n

GootLoader, como su nombre lo indica, es un malware capaz de descargar malware de siguiente etapa despu\u00e9s de atraer a v\u00edctimas potenciales mediante t\u00e1cticas de envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO). Est\u00e1 vinculado a un actor de amenazas rastreado como Hive0127 (tambi\u00e9n conocido como UNC2565).<\/p>\n

\"La<\/a><\/center><\/div>\n

El uso de GootBot apunta a un cambio t\u00e1ctico, con el implante descargado como una carga \u00fatil despu\u00e9s de una infecci\u00f3n de Gootloader en lugar de marcos post-explotaci\u00f3n como CobaltStrike”.<\/p>\n

Descrito como un script de PowerShell ofuscado, GootBot est\u00e1 dise\u00f1ado para conectarse a un sitio de WordPress comprometido para comando y control y recibir m\u00e1s comandos.<\/p>\n

Para complicar a\u00fan m\u00e1s las cosas, est\u00e1 el uso de un servidor C2 codificado \u00fanico para cada muestra de GootBot depositada, lo que dificulta el bloqueo del tr\u00e1fico malicioso.<\/p>\n

\"Programa<\/a><\/div>\n

“Las campa\u00f1as observadas actualmente aprovechan b\u00fasquedas envenenadas de SEO para temas como contratos, formularios legales u otros documentos relacionados con el negocio, dirigiendo a las v\u00edctimas a sitios comprometidos dise\u00f1ados para parecer foros leg\u00edtimos donde se les enga\u00f1a para que descarguen la carga \u00fatil inicial como un archivo de almacenamiento. ” dijeron los investigadores.<\/p>\n

El archivo de almacenamiento incorpora un archivo JavaScript ofuscado que, tras la ejecuci\u00f3n, recupera otro archivo JavaScript que se activa mediante una tarea programada para lograr persistencia.<\/p>\n

\"La<\/a><\/center><\/div>\n

En la segunda etapa, JavaScript est\u00e1 dise\u00f1ado para ejecutar un script de PowerShell para recopilar informaci\u00f3n del sistema y exfiltrarla a un servidor remoto, que, a su vez, responde con un script de PowerShell que se ejecuta en un bucle infinito y permite al actor de la amenaza distribuir varias cargas \u00fatiles. .<\/p>\n

Esto incluye GootBot, que se comunica con su servidor C2 cada 60 segundos para buscar tareas de PowerShell para su ejecuci\u00f3n y transmitir los resultados de la ejecuci\u00f3n al servidor en forma de solicitudes HTTP POST.<\/p>\n

Algunas de las otras capacidades de GootBot van desde el reconocimiento hasta la realizaci\u00f3n de movimientos laterales por el entorno, ampliando efectivamente la escala del ataque.<\/p>\n

“El descubrimiento de la variante Gootbot pone de relieve hasta d\u00f3nde llegar\u00e1n los atacantes para evadir la detecci\u00f3n y operar de forma sigilosa”, dijeron los investigadores. “Este cambio en los TTP y las herramientas aumenta el riesgo de que se produzcan etapas posteriores a la explotaci\u00f3n exitosas, como la actividad de los afiliados de ransomware vinculados a GootLoader”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n