Se ha descubierto que una nueva variante del malware GootLoader llamada GootBot facilita el movimiento lateral en los sistemas comprometidos y evade la detección.
La introducción por parte del grupo GootLoader de su propio bot personalizado en las últimas etapas de su cadena de ataque es un intento de eludir las detecciones al utilizar herramientas de comando y control (C2) listas para usar, como CobaltStrike o RDP”, según los investigadores de IBM X-Force Golo Mühr y Ole Villadsen.
“Esta nueva variante es un malware ligero pero efectivo que permite a los atacantes propagarse rápidamente por toda la red y desplegar más cargas útiles”.
GootLoader, como su nombre lo indica, es un malware capaz de descargar malware de la siguiente etapa después de atraer a víctimas potenciales utilizando tácticas de envenenamiento de optimización de motores de búsqueda (SEO). Está vinculado a un actor de amenazas rastreado como Hive0127 (también conocido como UNC2565).
El uso de GootBot apunta a un cambio táctico, con el implante descargado como una carga útil después de una infección de Gootloader en lugar de marcos posteriores a la explotación como CobaltStrike.
Descrito como un script de PowerShell ofuscado, GootBot está diseñado para conectarse a un sitio de WordPress comprometido para comando y control y recibir más comandos.
Para complicar aún más las cosas, está el uso de un servidor C2 único codificado para cada muestra de GootBot depositada, lo que dificulta el bloqueo del tráfico malicioso.
“Las campañas observadas actualmente aprovechan las búsquedas envenenadas por SEO para temas como contratos, formularios legales u otros documentos relacionados con los negocios, dirigiendo a las víctimas a sitios comprometidos diseñados para parecerse a foros legítimos donde se les engaña para que descarguen la carga útil inicial como un archivo de almacenamiento”, dijeron los investigadores.
El archivo de almacenamiento incorpora un archivo JavaScript ofuscado que, tras la ejecución, recupera otro archivo JavaScript que se activa a través de una tarea programada para lograr la persistencia.
En la segunda etapa, JavaScript está diseñado para ejecutar un script de PowerShell para recopilar información del sistema y filtrarla a un servidor remoto, que, a su vez, responde con un script de PowerShell que se ejecuta en un bucle infinito y otorga al actor de amenazas la distribución de varias cargas útiles.
Esto incluye GootBot, que se dirige a su servidor C2 cada 60 segundos para capturar tareas de PowerShell para su ejecución y transmitir los resultados de la ejecución al servidor en forma de solicitudes HTTP POST.
Algunas de las otras capacidades de GootBot van desde el reconocimiento hasta la realización de movimientos laterales a través del entorno, expandiendo efectivamente la escala del ataque.
“El descubrimiento de la variante Gootbot pone de relieve los extremos a los que llegarán los atacantes para evadir la detección y operar en sigilo”, dijeron los investigadores. “Este cambio en los TTP y las herramientas aumenta el riesgo de etapas exitosas posteriores a la explotación, como la actividad de afiliados de ransomware vinculados a GootLoader”.
