Các nhà điều hành chiến dịch GootLoader đang nhắm vào nhân viên của các công ty luật và kế toán như một phần của đợt tấn công mạng lan rộng mới nhằm triển khai phần mềm độc hại trên các hệ thống bị nhiễm, một dấu hiệu cho thấy kẻ thù đang mở rộng trọng tâm sang các mục tiêu giá trị cao khác.
Các nhà nghiên cứu từ eSentire cho biết trong một báo cáo được chia sẻ với The Hacker News: “GootLoader là một phần mềm độc hại truy cập ban đầu lén lút, sau khi xâm nhập được vào hệ thống máy tính của nạn nhân, nó sẽ lây nhiễm hệ thống bằng ransomware hoặc phần mềm độc hại gây chết người khác”.
Nhà cung cấp dịch vụ an ninh mạng cho biết họ đã chặn và phá bỏ các cuộc xâm nhập nhằm vào ba công ty luật và một doanh nghiệp kế toán. Tên của các nạn nhân không được tiết lộ.
Phần mềm độc hại có thể được phân phối trên hệ thống của mục tiêu thông qua nhiều phương thức, bao gồm các kết quả tìm kiếm bị nhiễm độc, các bản cập nhật giả mạo và các ứng dụng bị trojan được tải xuống từ các trang web liên kết đến phần mềm vi phạm bản quyền. GootLoader sử dụng kỹ thuật đầu tiên.
Vào tháng 3 năm 2021, các chi tiết đã xuất hiện về một cuộc tấn công bằng cách tải xuống toàn cầu liên quan đến việc lừa những nạn nhân không nghi ngờ truy cập vào các trang web WordPress bị xâm phạm thuộc các doanh nghiệp hợp pháp thông qua một kỹ thuật được gọi là đầu độc công cụ tìm kiếm đẩy các trang web này lên đầu kết quả tìm kiếm.
“Phương thức hoạt động của họ (MO) là lôi kéo một chuyên gia kinh doanh vào một trong các trang web bị xâm nhập và sau đó yêu cầu họ nhấp vào liên kết, dẫn đến Gootloader, cố gắng truy xuất tải trọng cuối cùng, cho dù đó là ransomware, trojan ngân hàng hay xâm nhập các nhà nghiên cứu giải thích trong một bài viết.
eSentire ước tính rằng hơn 100.000 trang web độc hại đã được thiết lập vào năm ngoái trên các trang web đại diện cho các tổ chức trong ngành khách sạn, bán lẻ cao cấp, giáo dục, chăm sóc sức khỏe, âm nhạc và nghệ thuật thị giác, với một trong những trang web bị tấn công lưu trữ 150 trang giả mạo được thiết kế cho người dùng kỹ sư xã hội tìm kiếm các thỏa thuận hậu kỳ hoặc sở hữu trí tuệ.
Về phần mình, các trang web bị đột nhập bằng cách khai thác lỗ hổng bảo mật trong hệ thống quản lý nội dung WordPress (CMS), cho phép những kẻ tấn công lén lút đưa vào các trang họ thích mà chủ sở hữu trang web không hề hay biết.
Bản chất của GootLoader và cách nó được thiết kế để cung cấp một cửa hậu vào các hệ thống ngụ ý rằng mục tiêu của các cuộc tấn công có thể là thu thập thông tin tình báo, nhưng nó cũng có thể được sử dụng như một công cụ để cung cấp các tải trọng gây hại bổ sung, bao gồm cả Cobalt Strike và ransomware, để bị xâm phạm hệ thống để theo dõi các cuộc tấn công.
Keegan Keplinger, trưởng nhóm nghiên cứu và báo cáo của eSentire's Threat Response (TRU) cho biết: “GootLoader phụ thuộc rất nhiều vào kỹ thuật xã hội để tạo dựng chỗ đứng của mình, từ việc đầu độc kết quả tìm kiếm của Google cho đến việc tạo ra trọng tải”.
“Các nhà điều hành của GootLoader mời nhân viên tìm kiếm, tải xuống và thực thi phần mềm độc hại của họ dưới vỏ bọc của một mẫu thỏa thuận kinh doanh miễn phí. Điều này đặc biệt hiệu quả đối với các công ty hợp pháp, những người có thể gặp phải các yêu cầu không phổ biến từ khách hàng.”
Để giảm thiểu các mối đe dọa như vậy, các tổ chức nên thực hiện quy trình kiểm tra đối với các mẫu thỏa thuận kinh doanh, đào tạo nhân viên chỉ mở tài liệu từ các nguồn đáng tin cậy và đảm bảo rằng nội dung được tải xuống khớp với nội dung dự định tải xuống.
.
