Los operadores de malware del cargador Gootkit están ejecutando una nueva campaña de envenenamiento de SEO que abusa de VLC Media Player para infectar entidades de atención médica australianas con balizas Cobalt Strike.
El objetivo de la campaña es implementar el kit de herramientas posterior a la explotación de Cobalt Strike en dispositivos infectados para el acceso inicial a las redes corporativas.
Desde allí, los operadores remotos pueden realizar escaneos de red, moverse lateralmente por la red, robar credenciales y archivos de cuentas e implementar cargas útiles más peligrosas, como ransomware.
Gootkit , también llamado Gootloader, se propaga a través de sitios web comprometidos que se engaña a las víctimas para que visiten cuando buscan documentos relacionados con el negocio, como acuerdos y contratos, a través de una técnica llamada envenenamiento de optimización de motores de búsqueda (SEO).
Si bien los objetivos generales de Gootkit no han cambiado, la secuencia de ataque en sí misma ha recibido actualizaciones significativas, en las que el archivo JavaScript dentro del archivo ZIP está troyanizado y contiene otro archivo JavaScript ofuscado que, en consecuencia, procede a ejecutar el malware.
La nueva variante, que fue detectada por la firma de inteligencia de amenazas en noviembre de 2022, se rastrea como GOOTLOADER.POWERSHELL. Vale la pena señalar que la cadena de infección renovada también fue documentada por Trend Micro a principios de este mes, detallando los ataques de Gootkit dirigidos al sector de la salud australiano.
Además, se dice que los autores del malware adoptaron tres enfoques diferentes para ocultar Gootkit, incluido el ocultamiento del código dentro de versiones alteradas de bibliotecas JavaScript legítimas como jQuery, Chroma.js y Underscore.js, en un intento de escapar de la detección.
La mejor forma de evitar la infección es descargar únicamente archivos de fuentes confiables, habilitar extensiones de archivo para que pueda ver el nombre real del archivo y evitar hacer clic en archivos con extensiones peligrosas.
