Gootkit RAT nutzt SEO, um Malware über kompromittierte Websites zu verbreiten

Cyber Security News

Ein Framework, das für die Verbreitung eines Banking-Trojaners berüchtigt ist, hat ein Facelifting erhalten, um ein breiteres Spektrum an Malware, einschließlich Ransomware-Nutzlasten, zu verteilen.

“Die Gootkit-Malware-Familie gibt es schon seit mehr als einem halben Jahrzehnt – ein ausgereifter Trojaner, dessen Funktionalität sich auf den Diebstahl von Bankdaten konzentriert”, sagen die Sophos-Forscher Gabor Szappanos und Andrew Brandt in einem heute veröffentlichten Bericht.

“In den letzten Jahren wurde fast so viel Aufwand in die Verbesserung seiner Übertragungsmethode gesteckt wie in die NodeJS-basierte Malware selbst.”

Das “Gootloader” genannte erweiterte Malware-Liefersystem kommt in einer Zeit, in der die Zahl der Infektionen, die auf Benutzer in Frankreich, Deutschland, Südkorea und den USA abzielen, stark zunimmt.

Gootkit wurde erstmals 2014 dokumentiert und ist eine Javascript-basierte Malware-Plattform, die eine Reihe von verdeckten Aktivitäten ausführen kann, darunter Webinjektion, Aufzeichnung von Tastatureingaben, Screenshots, Videoaufnahmen sowie E-Mail- und Passwortdiebstahl.

Im Laufe der Jahre hat sich das Cybercrime-Tool weiterentwickelt und neue Funktionen zum Stehlen von Informationen erhalten. So wurde der Gootkit-Loader in Kombination mit REvil/Sodinokibi-Ransomware-Infektionen, über die letztes Jahr berichtet wurde, wiederverwendet.

Während Kampagnen, die Social-Engineering-Tricks verwenden, um bösartige Nutzdaten zu übermitteln, gang und gäbe sind, hebt Gootloader die Sache auf die nächste Stufe.

Die Infektionskette greift auf ausgefeilte Techniken zurück, bei denen bösartige ZIP-Archivdateien auf Websites von legitimen Unternehmen gehostet werden, die mit manipulierten Methoden der Suchmaschinenoptimierung (SEO) so manipuliert wurden, dass sie unter den ersten Ergebnissen einer Suchanfrage erscheinen.

[Blocked Image: https://thehackernews.com/images/-jKrl6_59sww/YDz3lj7iPzI/AAAAAAAAB6U/gkVDyYnfxSoxHtjCmVAhySHz6_vysIHvACLcBGAsYHQ/s0/malware.jpg]

Darüber hinaus zeigen die Suchmaschinenergebnisse auf Websites, die keinen “logischen” Zusammenhang mit der Suchanfrage haben, was darauf schließen lässt, dass die Angreifer im Besitz eines riesigen Netzwerks von gehackten Websites sein müssen. In einem Fall, der von den Forschern entdeckt wurde, tauchte bei der Suche nach einem Immobilienvertrag eine gehackte Praxis für Neugeborene in Kanada als erstes Ergebnis auf.

“Um sicherzustellen, dass Ziele aus den richtigen Geografien erfasst werden, schreiben die Angreifer den Website-Code ‘unterwegs’ so um, dass Website-Besuchern, die nicht in die gewünschten Länder fallen, gutartige Web-Inhalte angezeigt werden, während denjenigen aus dem richtigen Ort eine Seite mit einem gefälschten Diskussionsforum zu dem von ihnen abgefragten Thema angezeigt wird”, so die Forscher.

Wenn der Benutzer auf das Suchergebnis klickt, gelangt er auf eine gefälschte, message board-ähnliche Seite, die nicht nur mit den in der ursprünglichen Anfrage verwendeten Suchbegriffen übereinstimmt, sondern auch einen Link zur ZIP-Datei enthält, die eine stark verschleierte Javascript-Datei enthält, die die nächste Stufe der Kompromittierung einleitet, um die von einem Remote-Server geholte dateilose Malware in den Speicher zu injizieren.

Dies geschieht in Form eines mehrstufigen, ausweichenden Ansatzes, der mit einem .NET-Loader beginnt, der eine Delphi-basierte Loader-Malware enthält, die wiederum die endgültige Nutzlast in verschlüsselter Form enthält.

Neben der Ransomware REvil und dem Trojaner Gootkit wurden derzeit mehrere Kampagnen entdeckt, die das Gootloader-Framework nutzen, um die Finanz-Malware Kronos in Deutschland und das Post-Exploitation-Tool Cobalt Strike in den USA heimlich zu verbreiten.

Es ist noch unklar, wie sich die Betreiber Zugang zu den Websites verschaffen, um die bösartigen Injects auszuliefern, aber die Forscher vermuten, dass die Angreifer die Passwörter durch die Installation der Gootkit-Malware oder durch den Kauf gestohlener Zugangsdaten auf Untergrundmärkten oder durch die Ausnutzung von Sicherheitslücken in den Plugins, die neben der Content-Management-System-Software (CMS) verwendet werden, erlangt haben könnten.

“Die Entwickler hinter Gootkit scheinen ihre Ressourcen und Energie von der Bereitstellung ihrer eigenen Finanz-Malware auf die Erstellung einer getarnten, komplexen Bereitstellungsplattform für alle Arten von Payloads, einschließlich REvil Ransomware, verlagert zu haben”, sagt Gabor Szappanos, Threat Research Director bei Sophos.

“Dies zeigt, dass Kriminelle dazu neigen, ihre bewährten Lösungen wiederzuverwenden, anstatt neue Bereitstellungsmechanismen zu entwickeln. Außerdem haben sich die Schöpfer von Gootloader für verworrene Umgehungstechniken entschieden, die das Endergebnis verschleiern, anstatt aktiv Endpoint-Tools anzugreifen, wie es einige Malware-Verbreiter tun”, fügt er hinzu.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com