Malware-Loader missbraucht Google SEO, um die Bereitstellung von Nutzdaten zu erweitern

Cyber Security News

Gootloader hat seine Payloads über die Gootkit-Malware-Familie hinaus erweitert und nutzt Google SEO Poisoning, um an Zugkraft zu gewinnen.

Der Gootloader-Malware-Loader, der zuvor für die Verbreitung der Gootkit-Malware-Familie verwendet wurde, hat eine “Renaissance” erlebt, wie Forscher es nennen, wenn es um die Bereitstellung von Nutzdaten geht.

Neue Forschungsergebnisse, die diese Woche veröffentlicht wurden, zeichnen Gootloader als ein immer ausgefeilteres Loader-Framework, das jetzt die Anzahl der Nutzlasten, die es liefert, über Gootkit (und in einigen Fällen die zuvor verbreitete Ransomware REvil) hinaus erweitert hat, um den Kronos-Trojaner und die Cobalt Strike-Rohstoff-Malware einzuschließen.

Gootloader ist bekannt für seinen mehrstufigen Angriffsprozess, seine Verschleierungstaktik und für die Verwendung einer bekannten Taktik zur Verbreitung von Malware, die als Search Engine Optimization (SEO) Poisoning bezeichnet wird. Diese Technik nutzt SEO-freundliche Begriffe in von Angreifern kontrollierten Websites aus, um sie im Google-Suchindex höher zu platzieren. Letztendlich bringt die Methode mehr Besucher auf die bösartigen Websites, die Links enthalten, die die Gootloader-Angriffskette starten.

“Die Methode zur Verbreitung von Malware, die von den Urhebern der Ransomware REvil und des Banking-Trojaners Gootkit entwickelt wurde, erlebt in letzter Zeit eine Renaissance. Telemetriedaten zeigen, dass Kriminelle diese Methode nutzen, um eine Reihe von Malware-Nutzdaten in Südkorea, Deutschland, Frankreich und Nordamerika zu verbreiten”, sagen Gabor Szappanos und Andrew Brandt, Sicherheitsforscher bei Sophos Labs am Montag.

Was ist das Gootloader Malware-Tool?

Gootloader ist ein Javascript-basiertes Infektions-Framework, das traditionell für den Gootkit-Remote-Access-Trojaner (RAT) verwendet wurde. Die Gootkit-Malware-Familie, die es seit mehr als fünf Jahren gibt, hat sich im Laufe der Zeit zu einem ausgereiften Trojaner entwickelt, der in erster Linie darauf abzielt, Zugangsdaten für Banken zu stehlen.

Während Gootloader früher lediglich als Vehikel für die Auslieferung der Gootkit-Malware verwendet wurde, “wurde in den letzten Jahren fast so viel Aufwand in die Verbesserung der Auslieferungsmethode gesteckt wie in die NodeJS-basierte Malware selbst”, so die Forscher.

Neben der Verwendung von SEO Poisoning hebt sich Gootloader durch seine dateilose Malware-Bereitstellungstaktik ab, so die Forscher. Dateilose Malware verwendet vertrauenswürdige, legitime Prozesse (im Fall von Gootloader z. B. PowerShell), die es dem Malware-Auslieferungsmechanismus ermöglichen, Antivirenprodukte zu umgehen.

Gootloader-Malware: Kompromittierte, legitime Websites

Um SEO-Poisoning durchzuführen, haben Gootloader-Angreifer zunächst eine Vielzahl legitimer Websites kompromittiert, die sie auf einem Netzwerk von rund 400 Servern unterhalten, so die Forscher.

[Blocked Image: https://alltechnews.de/daten/2021/03/Malware-Loader-missbraucht-Google-SEO-um-die-Bereitstellung-von-Nutzdaten-zu.png]

Ein Beispiel für einen Gootloader-Angriff. Credit: Sophos Labs

Laut den Forschern scheinen die Betreiber dieser legitimen, gehackten Websites nicht zu wissen, dass ihre Websites auf diese Weise missbraucht werden.

“Es ist nicht klar, wie sich die Angreifer Zugang zum Backend dieser Websites verschaffen, aber historisch gesehen können diese Arten von Website-Kompromittierungen das Ergebnis einer Reihe von Methoden sein: Die Angreifer können die Passwörter der Websites einfach von der Gootkit-Malware selbst oder von einem der zahlreichen kriminellen Märkte erhalten, die mit gestohlenen Anmeldeinformationen handeln, oder indem sie eine der zahlreichen Sicherheitslücken in den Plugins oder Add-ons der CMS-Software ausnutzen”, so die Forscher.

Nutzung der Google-Suchmaschinenoptimierung für die Verbreitung von Malware

Von Gootloader-Angreifern kompromittierte Websites optimieren dann die Content-Management-Systeme der Websites, um wichtige SEO-Taktiken und Begriffe zu verwenden. Das Ziel dabei ist, bei der Eingabe bestimmter Fragen in die Google-Suche ganz oben im Google-Index zu erscheinen.

Wenn Sie beispielsweise die Frage “Brauche ich einen Vertrag für eine Trennwand, um mein Haus zu verkaufen?” eingeben, wird eine legitime Website für eine in Kanada ansässige Praxis für Neugeborene angezeigt, die in Wirklichkeit von Gootloader-Angreifern kompromittiert wurde.

Der Teil der Website, der von den Angreifern kompromittiert wurde, enthält ein “Message Board” mit einem “Benutzer”, der die Frage stellt: “Brauche ich einen Vertrag für eine Trennwand, um mein Haus zu verkaufen?” Dabei wird genau derselbe Wortlaut wie bei der Suchanfrage verwendet, um im Google-Suchindex höher zu ranken – auch wenn es nichts mit dem eigentlichen Inhalt der kompromittierten Website zu tun hat.

[Blocked Image: https://alltechnews.de/daten/2021/03/1614634435_465_Malware-Loader-missbraucht-Google-SEO-um-die-Bereitstellung-von-Nutzdaten-zu.png]

Ein Beispiel für einen Gootloader-Angriff. Credit: Sophos Labs

Auf diesem “Message Board” antwortet dann ein “Admin-Profil” auf die Frage mit einem Link, der vorgibt, weitere Informationen zu haben.

“Keiner der legitimen Inhalte der Website hat etwas mit Immobilientransaktionen zu tun – ihre Ärzte liefern Babys – und doch ist sie das erste Ergebnis, das bei einer Abfrage über eine sehr eng definierte Art von Immobilienvertrag erscheint”, so die Forscher. “Google selbst gibt an, dass es sich bei dem Ergebnis nicht um eine Display handelt, und sie wissen schon seit fast sieben Jahren von der Seite. Für den Endnutzer sieht das Ganze sehr seriös aus.”

Threatpost hat sich an Google gewandt, um mehr Informationen darüber zu erhalten, wie das Unternehmen gegen solche SEO-Vergiftungsangriffe vorgeht.

Gootloader Payload Delivery Mechanismus

Der Mechanismus zur Zustellung der Nutzlast von Gootloader ist komplex und umfasst mehrere Stufen.

Wenn der Website-Benutzer auf der kompromittierten Website auf den Link des “Admin”-Kontos klickt, erhält er zunächst eine ZIP-Archivdatei mit einem Dateinamen (der wiederum mit den in der anfänglichen Suche verwendeten Suchbegriffen übereinstimmt). Diese Datei enthält dann eine weitere JS-Datei (mit demselben Namen). Bei JS-Erweiterungsdateien handelt es sich um eine Textdatei, die JavaScript-Code enthält, der zum Ausführen von JavaScript-Anweisungen in Webseiten verwendet wird; die spezifischen JS-Dateien in diesem Angriff rufen bei der Ausführung typischerweise den Windows Scripting Host (wscript.exe) auf.

“Diese .js-Datei ist der anfängliche Infektor und die einzige Phase der Infektion, in der eine Datei in das Dateisystem geschrieben wird”, so die Forscher. “Alles, was passiert, nachdem das Ziel auf dieses Skript doppelgeklickt hat, läuft komplett im Speicher ab, außerhalb der Reichweite herkömmlicher Endpunktschutz-Tools.”

Das verschleierte Skript der ersten Stufe versucht, den Command-and-Control (C2)-Server zu kontaktieren. Gelingt dies, erstellt der Malware-Prozess der zweiten Stufe einen Auto-Run-Eintrag für ein PowerShell-Skript, das erst nach dem Neustart des Systems ausgeführt wird, wodurch Angreifer die Erkennung umgehen können.

“Da diese nächste Stufe erst beim nächsten Neustart des Computers vollständig ausgeführt wird, kann es sein, dass die Zielperson die Infektion erst einige Stunden oder sogar Tage später entdeckt – immer dann, wenn sie Windows vollständig neu startet”, so die Forscher.

Sobald der Computer neu gestartet wird, wird das PowerShell-Skript ausgeführt und beginnt eine dominoähnliche Abfolge von Ereignissen, die damit endet, dass Gootloader versucht, seine endgültige Nutzlast herunterzuladen.

“Der Delphi-Loader enthält die endgültige Nutzlast – Kronos, REvil, Gootkit oder Cobalt Strike – in verschlüsselter Form”, so die Forscher. “In diesen Fällen entschlüsselt der Lader die Nutzlast und verwendet dann seinen eigenen PE-Lader, um die Nutzlast im Speicher auszuführen.”

Andere Malware Google SEO-Missbrauchstaktiken

Der Missbrauch von SEO, um mehr Aufmerksamkeit und Zugkraft für bösartige Websites zu erlangen, ist ein uralter Trick für Cyberkriminelle, wobei Beispiele für diese Art von Taktik mindestens bis 2011 zurückreichen. Im Jahr 2017 vergifteten Cyberkriminelle Google-Suchergebnisse in der Hoffnung, Benutzer mit einem Banking-Trojaner namens Zeus Panda zu infizieren.

Diese Arten von Angriffen werden fortgesetzt, weil sie funktionieren, so die Forscher.

“Skript-Blocker wie NoScript für Firefox könnten einem vorsichtigen Web-Surfer helfen, sicher zu bleiben, indem sie den anfänglichen Austausch der gehackten Webseite verhindern, aber nicht jeder nutzt diese Tools (oder findet sie bequem oder sogar intuitiv)”, sagten sie. “Selbst aufmerksame Benutzer, die sich des Tricks mit der gefälschten Forumsseite bewusst sind, erkennen ihn möglicherweise erst, wenn es zu spät ist.”

Einige Teile dieses Artikels stammen aus:
threatpost.com