Le malware Gootloader empoisonne le SEO de Google pour se répandre

0

Le loader de logiciels malveillants, Gootloader, précédemment utilisé pour la distribution de la famille de logiciels malveillants Gootkit, a subi ce que les chercheurs appellent une « renaissance » quand il s’agit de la livraison de charge utile.

Une nouvelle recherche publiée cette semaine présente Gootloader comme un framework de loader de plus en plus sophistiqué, qui a maintenant augmenté le nombre de charges utiles qu’ils délivrent en plus de Gootkit (et dans certains cas, le ransomware REvil précédemment distribué), pour inclure le cheval de Troie Kronos et le malware Cobalt Strike.

Gootloader est connu pour son processus d’attaque en plusieurs étapes, tactiques d’obscurcissement, et pour l’utilisation d’une tactique connue pour la livraison de logiciels malveillants appelé empoisonnement SEO(Search Engine Optimisation). Cette technique tire parti des termes favorables aux référencements dans les sites Web contrôlés par les attaquants, afin de les classer plus haut dans l’index de recherche de Google. En fin de compte, la méthode apporte plus de trafic aux sites malveillants, qui contiennent des liens qui lancent la chaîne d’attaque de Gootloader.

« La méthode de livraison de logiciels malveillants lancé par les pirates informatiques derrière le ransomware REvil et le cheval de Troie bancaire Gootkit a connu une renaissance ces derniers temps, que la télémétrie indique que les criminels utilisent la méthode pour déployer un éventail de charges utiles en Corée du Sud, en Allemagne, en France, et à travers l’Amérique du Nord », ont déclaré Gabor Szappanos et Andrew Brandt, chercheurs en sécurité de Sophos Labs.

Qu’est-ce que le malware Gootloader?

Gootloader est un framework d’infection basé sur Javascript qui a été traditionnellement utilisé pour le cheval de Troie Gootkit. La famille de logiciels malveillants Gootkit, qui a été découverte il y’a cinq ans, a évolué au fil du temps en un cheval de Troie mature dont l’objectif principal est de dérober les informations d’identification bancaires.

Alors que Gootloader a été précédemment utilisé pour simplement livrer le malware Gootkit, « Ces dernières années, presque autant d’efforts ont été déployés dans l’amélioration de sa méthode de livraison, » ont déclaré les chercheurs.

En plus de son utilisation de l’empoisonnement SEO, ce qui distingue Gootloader est ses tactiques de livraison de logiciels malveillants sans fichier. Les logiciels malveillants sans fichiers utilisent des processus fiables et légitimes (dans le cas de Gootloader, PowerShell, par exemple) qui permettent au mécanisme de livraison de logiciels malveillants d’échapper la détection des produits antivirus.

Le malware Gootloader a compromis plusieurs sites

Afin d’effectuer l’empoisonnement seo, les pirates derrière Gootloader ont d’abord compromis une grande variété de sites Web légitimes, qu’ils maintiennent sur un réseau d’environ 400 serveurs, ont déclaré les chercheurs.

gootloader

Selon les chercheurs, les opérateurs de ces sites web légitimes et piratés ne semblent pas savoir que leurs sites Web sont abusés de cette manière.

« Il n’est pas clair comment les pirates informatiques ont accédé au backend de ces sites, mais historiquement, ce genre de compromission de site peut être le résultat de nombreuses méthodes: Les attaquants peuvent simplement obtenir les mots de passe des sites à partir du malware Gootkit lui-même, ou de l’un des nombreux marchés criminels qui vendent des informations d’identification volées, ou en tirant parti de l’un des exploits de sécurité dans les plugins ou add-ons du logiciel de CMS », ont-ils dit.

Le mécanisme de livraison de charge utile de Gootloader

Le mécanisme de livraison de la charge utile de Gootloader est complexe et comporte plusieurs étapes.

Initialement, lorsque l’utilisateur du site clique sur le lien du compte « admin » sur le site Web compromis, il reçoit un fichier d’archives ZIP avec un nom de fichier (correspondant à nouveau aux termes de requête de recherche utilisés dans la recherche initiale). Ce fichier contient ensuite un autre fichier JS (du même nom). Les fichiers d’extension JS impliquent un fichier texte contenant du code JavaScript, utilisé pour exécuter des instructions JavaScript dans les pages Web; les fichiers JS spécifiques de cette attaque appellent généralement le Windows Scripting Host (wscript.exe) lorsqu’ils sont exécutés.

« Ce .js est l’infecteur initial, et la seule étape de l’infection lors de laquelle un fichier est écrit sur le système de fichiers », ont déclaré les chercheurs. « Tout ce qui se passe après que la cible fasse un double-clic sur ce script fonctionne entièrement en mémoire, hors de la portée des outils traditionnels de protection de point de terminaison. »

Le script de première étape, qui est obscurci, tente de contacter le serveur de commande et de contrôle (C2) – s’il le fait avec succès, le processus de malware de deuxième étape crée alors une entrée auto-run pour un script PowerShell qui ne s’exécute pas jusqu’à ce que le système redémarre, créant un moyen furtif pour les attaquants de contourner la détection.

« Parce que cette prochaine étape ne s’exécute pas complètement jusqu’à la prochaine fois que l’ordinateur redémarre, la cible peut ne pas réellement découvrir l’infection jusqu’à quelques heures ou même quelques jours plus tard – chaque fois qu’ils font un redémarrage complet de Windows », ont déclaré les chercheurs.

Une fois que l’ordinateur redémarre, le script PowerShell s’exécute et commence une séquence d’événements, se terminant par Gootloader essayant de télécharger sa charge utile finale.

« Le loader Delphi contient la charge utile finale – Kronos, REvil, Gootkit ou Cobalt Strike – sous forme chiffrée », ont déclaré les chercheurs. « Dans ces cas, le loader déchiffre la charge utile, puis utilise son propre loader PE pour exécuter la charge utile en mémoire. »

L’abus de SEO pour gagner plus de trafic et de traction vers des sites malveillants est une vieille astuce pour les cybercriminels, avec des exemples de ce type de tactique datant d’au moins 2011. En 2017, les cybercriminels ont empoisonné les résultats de recherche de Google dans l’espoir d’infecter les utilisateurs avec un cheval de Troie bancaire appelé Zeus Panda, par exemple.

Ces types d’attaques se poursuivent parce qu’ils fonctionnent, ont déclaré les chercheurs.

« Les bloqueurs de scripts comme NoScript pour Firefox pourrait aider un internaute prudent à garantir sa sécurité en empêchant le remplacement initial de la page Web piratée de se produire, mais tout le monde n’utilise pas ces outils (ou les trouve pratiques ou même intuitifs), ont-ils dit. « Même les utilisateurs attentifs qui sont conscients de l’astuce impliquant la fausse page du forum pourrait ne pas le reconnaître avant qu’il ne soit trop tard. »

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire