Các nhà khai thác phần mềm độc hại truy cập như một dịch vụ (AaaS) của Gootkit đã nổi lên với các kỹ thuật cập nhật để thỏa hiệp với những nạn nhân không nghi ngờ.
Các nhà nghiên cứu Buddy Tancio và Jed Valderama của Trend Micro cho biết: “Trước đây, Gootkit sử dụng các trình cài đặt phần mềm miễn phí để che giấu các tệp độc hại; giờ đây nó sử dụng các tài liệu pháp lý để lừa người dùng tải xuống các tệp này”, các nhà nghiên cứu của Trend Micro, Buddy Tancio và Jed Valderama cho biết trong một bài viết vào tuần trước.
Các phát hiện được xây dựng dựa trên một báo cáo trước đó của eSentire, được tiết lộ vào tháng 1 về các cuộc tấn công trên diện rộng nhằm vào nhân viên của các công ty kế toán và luật để triển khai phần mềm độc hại trên các hệ thống bị nhiễm.
Gootkit là một phần của hệ sinh thái ngầm đang phát triển mạnh mẽ của các công ty môi giới truy cập, những người được biết là cung cấp cho các tác nhân độc hại khác một con đường vào mạng công ty với một mức giá, mở đường cho các cuộc tấn công gây tổn hại thực sự như ransomware.
Trình tải sử dụng các kết quả của công cụ tìm kiếm độc hại, một kỹ thuật được gọi là SEO đầu độc, để thu hút người dùng không nghi ngờ truy cập vào các trang web bị xâm nhập lưu trữ các tệp gói ZIP có chứa phần mềm độc hại có chủ đích liên quan đến các thỏa thuận tiết lộ cho các giao dịch bất động sản.
Các nhà nghiên cứu chỉ ra: “Sự kết hợp giữa đầu độc SEO và các trang web hợp pháp bị xâm phạm có thể che dấu các chỉ số về hoạt động độc hại thường khiến người dùng phải cảnh giác”, các nhà nghiên cứu chỉ ra.
Về phần mình, tệp ZIP bao gồm tệp JavaScript tải tệp nhị phân Cobalt Strike, một công cụ được sử dụng cho các hoạt động sau khai thác chạy trực tiếp trong bộ nhớ.
Các nhà nghiên cứu cho biết: “Gootkit vẫn đang hoạt động và cải tiến các kỹ thuật của mình. “Điều này ngụ ý rằng hoạt động này đã được chứng minh là hiệu quả, vì các tác nhân đe dọa khác dường như tiếp tục sử dụng nó.”
.
