Παρασκευή, 22 Ιανουαρίου, 02:07
Αρχική security Gootkit malware: Επιστρέφει και στοχεύει μαζί με το REvil τη Γερμανία!

Gootkit malware: Επιστρέφει και στοχεύει μαζί με το REvil τη Γερμανία!

Το Gootkit, ένα trojan που κλέβει πληροφορίες από τα συστήματα των θυμάτων του, κάνει την επανεμφάνισή του στο τοπίο των απειλών, ύστερα από ένα χρόνο αδράνειας. Αυτή τη φορά δεν είναι μόνο του, αλλά ενώνει τις δυνάμεις του με το REvil ransomware, σε μια νέα κακόβουλη εκστρατεία που στοχεύει τη Γερμανία. Το Gootkit trojan είναι ένα Javascript-based malware που εκτελεί διάφορες κακόβουλες δραστηριότητες, όπως απομακρυσμένη πρόσβαση, καταγραφή πλήκτρων, εγγραφή βίντεο, κλοπή email, κλοπή κωδικών πρόσβασης και έγχυση κακόβουλων scripts, με στόχο την κλοπή online banking credentials.

Το 2019, οι χάκερς που ανέπτυξαν το Gootkit υπέστησαν διαρροή δεδομένων αφότου άφησαν μια βάση δεδομένων MongoDB εκτεθειμένη στο Διαδίκτυο. Μετά από αυτήν την παραβίαση, θεωρήθηκε ότι οι χάκερς σταμάτησαν ολοκληρωτικά την δράση τους. Ωστόσο, τώρα κάνουν την επανεμφάνισή τους.

Gootkit malware: Επιστρέφει και στοχεύει μαζί με το REvil τη Γερμανία!

Ένας ερευνητής ασφαλείας γνωστός ως “The Analyst” δήλωσε την προηγούμενη εβδομάδα στο BleepingComputer ότι το Gootkit malware διενεργεί επιθέσεις με στόχο τη Γερμανία. Σε αυτή τη νέα κακόβουλη εκστρατεία, οι χάκερς παραβιάζουν WordPress websites και χρησιμοποιούν δηλητηρίαση μέσω SEO για την εμφάνιση fake forum posts στους επισκέπτες. Αυτά τα posts εμφανίζονται ως ερωτο-απαντήσεις που έχουν ένα link, το οποίο παραπέμπει σε ψεύτικες φόρμες ή λήψεις. Όταν ο χρήστης κάνει κλικ στο link, κατεβαίνει ένα αρχείο ZIP που περιέχει ένα ασαφές αρχείο JS, το οποίο εγκαθιστά είτε το Gootkit malware είτε το Revil ransomware. Η ίδια μέθοδος χρησιμοποιήθηκε από τη συμμορία του REvil τον Σεπτέμβριο του 2019, δηλαδή περίπου την περίοδο που το Gootkit εξαφανίστηκε.

Σε μια νέα έκθεση που κυκλοφόρησε χθες, οι ερευνητές του Malwarebytes εξηγούν ότι τα κακόβουλα JavaScript payloads εκτελούν επιθέσεις είτε του Gootkit είτε του REvil. Όταν ξεκινήσει, το JavaScript script, συνδέεται με τον C&C server και κατεβάζει ένα άλλο script που περιέχει το κακόβουλο malware payload.

Αυτά τα payloads αποθηκεύονται ως κωδικοποιημένα Base64 ή δεκαεξαδικές συμβολοσειρές είτε σε ένα αρχείο κειμένου είτε χωρίζονται σε πολλές τιμές Μητρώου των Windows. Το loader διαβάζει τελικά το Μητρώο ή τα payloads του αρχείου κειμένου, τα αποκωδικοποιεί και ξεκινά τη διαδικασία απευθείας στη μνήμη. Η χρήση ασαφών payloads καθιστά πιο δύσκολο για το λογισμικό ασφαλείας να εντοπίσει τα κακόβουλα payloads.

Αξιοσημείωτο είναι το γεγονός ότι ο ερευνητής ασφαλείας “The Analyst” κατά την διερεύνηση αυτής της κακόβουλης εκστρατείας ανακάλυψε πως η μόλυνση με Revil άφηνε στα θύματα σημειώματα λύτρων που έχουν χρησιμοποιηθεί και σε προηγούμενες επιθέσεις.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Mac: Πώς να δείτε ποιο μοντέλο έχετε και πότε κυκλοφόρησε

Όταν χρειάζεστε υποστήριξη για το Mac σας - ή θέλετε να εγκαταστήσετε κάποιο είδος αναβάθμισης - συνήθως πρέπει να γνωρίζετε το ακριβές...
00:02:35

Bill Gates: Θα συνεργαστεί με τον Biden για COVID-19 / κλιματική αλλαγή;

Ο συνιδρυτής της Microsoft, Bill Gates, ανέφερε στο Twitter ότι ανυπομονεί να συνεργαστεί με το νέο Αμερικανό Πρόεδρο, Joe Biden, και την...

Ποιες είναι οι φήμες που κυκλοφορούν για το iPhone 13;

Το iPhone 13 της Apple θα διαθέτει ένα επανασχεδιασμένο σύστημα Face ID που θα διαθέτει μικρότερη εγκοπή στο πάνω μέρος της οθόνης,...

Biden: Πώς αποτυπώθηκε στα social media η πολιτική μετάβαση στις ΗΠΑ;

Καθώς ο Joe Biden ορκίστηκε Πρόεδρος των ΗΠΑ, αυτή η σημαντική πολιτική μετάβαση αποτυπώθηκε και στα δημοφιλή social media. Στις 20 Ιανουαρίου,...

Το CentOS σταματά να υποστηρίζεται αλλά το RHEL προσφέρεται δωρεάν

Τον περασμένο μήνα, η Red Hat προκάλεσε μεγάλη ανησυχία στον κόσμο του Linux όταν ανακοίνωσε τη διακοπή του CentOS Linux.

Διέρρευσαν online Microsoft Office 365 κωδικοί πρόσβασης υπαλλήλων!

Μια νέα καμπάνια phishing μεγάλης κλίμακας που στοχεύει παγκόσμιους οργανισμούς βρέθηκε να παρακάμπτει το Microsoft Office 365 Advanced Threat Protection (ATP) και...

COSMOTE και Microsoft παρέχουν νέες λύσεις cloud για επιχειρήσεις

Η COSMOTE και η Microsoft επεκτείνουν τη συνεργασία τους, προσφέροντας ακόμη πιο εξελιγμένες και υψηλής ποιότητας λύσεις cloud, σε μεγάλες και μικρομεσαίες...

Οι κυβερνοεπιθέσεις στην Ανατολική Ευρώπη αυξάνονται!

Οι κυβερνοεπιθέσεις που πραγματοποιούνται σε πολλές κυβερνητικές υπηρεσίες και εταιρείες των ΗΠΑ τους τελευταίους μήνες έχουν προκαλέσει ανησυχία στις αναπτυσσόμενες χώρες της...

Η Tesla μειώνει τις τιμές του Model 3 στην Ευρώπη

Η Tesla έχει μειώσει τις τιμές του Model 3 σε πολλές ευρωπαϊκές αγορές, οι οποίες μειώσεις θα μπορούσαν εν μέρει να συνδεθούν...

iOS, Android, XBox χρήστες στο στόχαστρο νέας malvertising εκστρατείας

Πρόσφατα ανακαλύφθηκε μια νέα malvertising εκστρατεία που στοχεύει χρήστες κινητών και άλλων συνδεδεμένων συσκευών και χρησιμοποιεί αποτελεσματικές...