{"id":1264443,"date":"2024-07-05T11:26:31","date_gmt":"2024-07-05T11:26:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-gootloader-sigue-activo-y-esta-implementando-nuevas-versiones-para-ataques-mejorados\/"},"modified":"2024-07-05T11:26:35","modified_gmt":"2024-07-05T11:26:35","slug":"el-malware-gootloader-sigue-activo-y-esta-implementando-nuevas-versiones-para-ataques-mejorados","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-gootloader-sigue-activo-y-esta-implementando-nuevas-versiones-para-ataques-mejorados\/","title":{"rendered":"El malware GootLoader sigue activo y est\u00e1 implementando nuevas versiones para ataques mejorados"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>5 de julio de 2024<\/span>\ue804<\/i>Sala de prensa<\/span><\/span>Envenenamiento SEO \/ Ataque cibern\u00e9tico, <\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El malware conocido como GootLoader contin\u00faa siendo utilizado activamente por actores de amenazas que buscan enviar cargas \u00fatiles adicionales a los hosts comprometidos.<\/p>\n

“Las actualizaciones de la carga \u00fatil de GootLoader han dado como resultado varias versiones de GootLoader, y GootLoader 3 se encuentra actualmente en uso activo”, dijo la firma de ciberseguridad Cybereason dicho<\/a> en un an\u00e1lisis publicado la semana pasada.<\/p>\n

“Si bien algunos de los detalles de las cargas \u00fatiles de GootLoader han cambiado con el tiempo, las estrategias de infecci\u00f3n y la funcionalidad general siguen siendo similares al resurgimiento del malware en 2020”.<\/p>\n

\"La<\/a><\/center><\/div>\n

GootLoader, un cargador de malware<\/a> Parte del troyano bancario Gootkit, est\u00e1 vinculado a un actor de amenazas llamado Hive0127 (tambi\u00e9n conocido como UNC2565). Abusa de JavaScript para descargar herramientas posteriores a la explotaci\u00f3n y se distribuye a trav\u00e9s de t\u00e1cticas de envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO).<\/p>\n

Generalmente sirve como conducto para entregar diversas cargas \u00fatiles como Cobalt Strike, Gootkit, IcedID, Kronos, REvil y SystemBC.<\/p>\n

\"Malware<\/a><\/div>\n

En los \u00faltimos meses, los actores de amenazas detr\u00e1s de GootLoader tambi\u00e9n han lanzado su propia herramienta de comando y control (C2) y movimiento lateral denominada GootBot, lo que indica que el “grupo est\u00e1 expandiendo su mercado para ganar una audiencia m\u00e1s amplia para sus ganancias financieras”.<\/p>\n

Las cadenas de ataque implican comprometer sitios web para alojar la carga \u00fatil de JavaScript de GootLoader haci\u00e9ndolo pasar por documentos y acuerdos legales, que, cuando se lanzan, configuran la persistencia utilizando una tarea programada y ejecutan JavaScript adicional para iniciar un script de PowerShell para recopilar informaci\u00f3n del sistema y esperar m\u00e1s instrucciones.<\/p>\n

\"La<\/a><\/center><\/section>\n

“Los sitios que alojan estos archivos utilizan t\u00e9cnicas de envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO) para atraer a v\u00edctimas que buscan archivos relacionados con negocios, como plantillas de contratos o documentos legales”, dijeron los investigadores de seguridad Ralph Villanueva, Kotaro Ogino y Gal Romano.<\/p>\n

Los ataques tambi\u00e9n se caracterizan por utilizar codificaci\u00f3n de c\u00f3digo fuente, ofuscaci\u00f3n del flujo de control e inflaci\u00f3n del tama\u00f1o de la carga \u00fatil para resistir el an\u00e1lisis y la detecci\u00f3n. Otra t\u00e9cnica consiste en incrustar el malware en archivos de bibliotecas JavaScript leg\u00edtimos como jQuery, Lodash, Maplace.js y tui-chart.<\/p>\n

“GootLoader ha recibido varias actualizaciones durante su ciclo de vida, incluidos cambios en las funcionalidades de evasi\u00f3n y ejecuci\u00f3n”, concluyeron los investigadores.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n