Une vague d’attaques de chargeurs de logiciels malveillants Gootkit a ciblé le secteur de la santé australien en exploitant des outils légitimes tels que VLC Media Player.
Gootkit, également appelé Gootloader, est connu pour employer tactiques d’empoisonnement de l’optimisation des moteurs de recherche (SEO) (alias spamdexing) pour l’accès initial. Cela fonctionne généralement en compromettant et en abusant des infrastructures légitimes et en ensemençant ces sites avec des mots-clés communs.
Comme d’autres logiciels malveillants de ce type, Gootkit est capable de voler des données du navigateur, d’effectuer des attaques d’adversaire dans le navigateur (AitB), d’enregistrer des frappes, de prendre des captures d’écran et d’autres actions malveillantes.
Trend Micro nouvelles découvertes révèlent que les mots-clés « hôpital », « santé », « médical » et « accord d’entreprise » ont été associés à divers noms de villes en Australie, marquant l’expansion d’un logiciel malveillant au-delà des cabinets comptables et juridiques.
Le point de départ de la cyberattaque consiste à diriger les utilisateurs recherchant les mêmes mots-clés vers un blog WordPress infecté qui les incite à télécharger des fichiers ZIP contenant des logiciels malveillants.
« Lorsqu’il accède au site, l’utilisateur se voit présenter un écran conçu pour ressembler à un forum légitime », ont déclaré les chercheurs de Trend Micro. « Les utilisateurs sont amenés à accéder au lien afin que le fichier ZIP malveillant puisse être téléchargé. »
De plus, le code JavaScript utilisé pour réaliser cette supercherie est injecté dans un fichier JavaScript valide dans des sections aléatoires du site Web piraté.
L’archive ZIP téléchargée, pour sa part, contient également un fichier JavaScript qui, lors de son exécution, utilise non seulement l’obscurcissement pour échapper à l’analyse, mais est également utilisé pour établir la persistance sur la machine au moyen d’une tâche planifiée.
La chaîne d’exécution conduit ensuite à un script PowerShell conçu pour récupérer des fichiers d’un serveur distant pour une activité de post-exploitation, qui ne commence qu’après une période d’attente allant de quelques heures à deux jours.
« Cette latence, qui sépare clairement la phase initiale d’infection de la deuxième phase, est une caractéristique distinctive du fonctionnement du chargeur Gootkit », ont déclaré les chercheurs.
Une fois le temps d’attente écoulé, deux charges utiles supplémentaires sont supprimées – msdtc.exe et libvlc.dll – dont le premier est un binaire VLC Media Player légitime utilisé pour charger le composant Cobalt Strike DLL, suivi du téléchargement d’autres outils pour faciliter la découverte.
« Les acteurs malveillants derrière [Gootkit] mettent activement en œuvre leur campagne », ont déclaré les chercheurs. « Les menaces visant des secteurs d’emploi, des industries et des zones géographiques spécifiques deviennent de plus en plus agressives.