Chiến dịch GootLoader mới nhắm vào người dùng tìm kiếm Luật về mèo Bengal ở Úc

Starlink · T.M.Một 16, 2024, 11:35:35 SÁNG

Trong một chiến dịch đặc biệt khác thường, người dùng tìm kiếm thông tin về tính hợp pháp của mèo Bengal ở Úc đang trở thành mục tiêu của phần mềm độc hại GootLoader.

"Trong trường hợp này, chúng tôi phát hiện những kẻ tấn công GootLoader sử dụng kết quả tìm kiếm để biết thông tin về một con mèo cụ thể và một địa lý cụ thể để vận chuyển hàng hóa: 'Mèo Bengal có hợp pháp ở Úc không?'", các nhà nghiên cứu của Sophos Trang Tang, Hikaru Koike, Asha Castle và Sean Gallagher cho biết trong báo cáo được công bố tuần trước.

GootLoader, đúng như tên gọi của nó, là một trình tải phần mềm độc hại thường được phân phối bằng cách sử dụng các chiến thuật đầu độc tối ưu hóa công cụ tìm kiếm (SEO) để truy cập ban đầu.

Cụ thể, phần mềm độc hại được triển khai trên máy tính của nạn nhân khi tìm kiếm một số thuật ngữ nhất định như tài liệu pháp lý và thỏa thuận trên các công cụ tìm kiếm như Google sẽ hiển thị các liên kết có bẫy trỏ đến các trang web bị xâm nhập lưu trữ tệp ZIP có chứa mã JavaScript.

Sau khi được cài đặt, nó sẽ mở đường cho phần mềm độc hại giai đoạn thứ hai, thường là phần mềm đánh cắp thông tin và trojan truy cập từ xa có tên là GootKit, mặc dù trước đây nó cũng đã được phát hiện phân phối các họ phần mềm độc hại khác như Cobalt Strike, IcedID, Kronos, REvil và SystemBC để khai thác sau này.

Chuỗi tấn công mới nhất không có gì khác biệt ở chỗ các tìm kiếm "Bạn có cần giấy phép để nuôi mèo Bengal ở Úc không" sẽ trả về kết quả bao gồm liên kết đến một trang web hợp pháp nhưng bị nhiễm mã độc thuộc sở hữu của một nhà sản xuất màn hình LED có trụ sở tại Bỉ, tại đó nạn nhân được nhắc tải xuống tệp ZIP.

Có trong kho lưu trữ ZIP là một tệp JavaScript sau đó chịu trách nhiệm khởi động chuỗi tấn công nhiều giai đoạn, kết thúc bằng việc thực thi một tập lệnh PowerShell có khả năng thu thập thông tin hệ thống và tải thêm các tải trọng. Cần lưu ý rằng một chiến dịch giống hệt đã được Cybereason ghi lại vào đầu tháng 7 này.

Sophos cho biết họ không quan sát thấy việc triển khai GootKit trong trường hợp mà công ty phân tích, do đó ngăn chặn việc tải xuống phần mềm độc hại bổ sung.

"GootLoader là một trong số nhiều hoạt động cung cấp phần mềm độc hại dưới dạng dịch vụ đang tiếp diễn, tận dụng mạnh mẽ kết quả tìm kiếm như một phương tiện để tiếp cận nạn nhân", các nhà nghiên cứu cho biết. "Việc sử dụng tối ưu hóa công cụ tìm kiếm và lạm dụng quảng cáo trên công cụ tìm kiếm để dụ mục tiêu tải xuống trình tải và trình thả phần mềm độc hại không phải là mới—GootLoader đã làm điều này kể từ ít nhất năm 2020".

VietNetwork.Vn

Tìm kiếm