Six cabinets d’avocats différents ont été ciblés en janvier et février 2023 dans le cadre de deux campagnes de menaces disparates distribuant GootLoader et FakeUpdates (alias SocGholish) souches de logiciels malveillants.
GootLoaderactif depuis fin 2020, est un téléchargeur de première étape capable de fournir une large gamme de charges utiles secondaires telles que Cobalt Strike et des ransomwares.
Il utilise notamment l’empoisonnement de l’optimisation des moteurs de recherche (SEO) pour canaliser les victimes à la recherche de documents liés à l’entreprise vers des sites de téléchargement automatique qui abandonnent le malware JavaScript.
Dans le campagne détaillé par la société de cybersécurité eSentire, les acteurs de la menace auraient compromis des sites Web WordPress légitimes, mais vulnérables, et ajouté de nouveaux articles de blog à l’insu des propriétaires.
« Lorsque l’utilisateur de l’ordinateur accède à l’une de ces pages Web malveillantes et clique sur le lien pour télécharger le prétendu accord commercial, il télécharge sans le savoir GootLoader », a déclaré Keegan Keplinger, chercheur chez eSentire, en janvier 2022.
La divulgation d’eSentire est la dernière d’une vague d’attaques qui ont utilisé le chargeur de logiciels malveillants Gootkit pour violer des cibles.
GootLoader est loin d’être le seul malware JavaScript ciblant les professionnels et les employés des cabinets d’avocats. Une autre série d’attaques a également entraîné l’utilisation de SocGholishqui est un téléchargeur capable de déposer plus d’exécutables.
La chaîne d’infection est en outre importante pour profiter d’un site Web fréquenté par des cabinets d’avocats en tant que abreuvoir pour distribuer le malware.
Un autre aspect remarquable des ensembles d’intrusions jumeaux en l’absence de déploiement de ransomwares, privilégiant plutôt les activités pratiques, suggère que les attaques auraient pu se diversifier pour inclure des opérations d’espionnage.
« Avant 2021, le courrier électronique était le principal vecteur d’infection utilisé par les acteurs de menaces opportunistes », a déclaré Keplinger. De 2021 à 2023, les attaques basées sur les navigateurs […] n’ont cessé de croître pour concurrencer les e-mails en tant que principal vecteur d’infection. »
« Cela a été en grande partie grâce à GootLoader, SocGholish, SolarMarker et aux campagnes récentes utilisant Google Ads pour afficher les meilleurs résultats de recherche. »