ΑρχικήsecurityGootkit malware: Επιστρέφει και στοχεύει μαζί με το REvil τη Γερμανία!

Gootkit malware: Επιστρέφει και στοχεύει μαζί με το REvil τη Γερμανία!

Το Gootkit, ένα trojan που κλέβει πληροφορίες από τα συστήματα των θυμάτων του, κάνει την επανεμφάνισή του στο τοπίο των απειλών, ύστερα από ένα χρόνο αδράνειας. Αυτή τη φορά δεν είναι μόνο του, αλλά ενώνει τις δυνάμεις του με το REvil ransomware, σε μια νέα κακόβουλη εκστρατεία που στοχεύει τη Γερμανία. Το Gootkit trojan είναι ένα Javascript-based malware που εκτελεί διάφορες κακόβουλες δραστηριότητες, όπως απομακρυσμένη πρόσβαση, καταγραφή πλήκτρων, εγγραφή βίντεο, κλοπή email, κλοπή κωδικών πρόσβασης και έγχυση κακόβουλων scripts, με στόχο την κλοπή online banking credentials.

Το 2019, οι χάκερς που ανέπτυξαν το Gootkit υπέστησαν διαρροή δεδομένων αφότου άφησαν μια βάση δεδομένων MongoDB εκτεθειμένη στο Διαδίκτυο. Μετά από αυτήν την παραβίαση, θεωρήθηκε ότι οι χάκερς σταμάτησαν ολοκληρωτικά την δράση τους. Ωστόσο, τώρα κάνουν την επανεμφάνισή τους.

Gootkit malware: Επιστρέφει και στοχεύει μαζί με το REvil τη Γερμανία!

Ένας ερευνητής ασφαλείας γνωστός ως “The Analyst” δήλωσε την προηγούμενη εβδομάδα στο BleepingComputer ότι το Gootkit malware διενεργεί επιθέσεις με στόχο τη Γερμανία. Σε αυτή τη νέα κακόβουλη εκστρατεία, οι χάκερς παραβιάζουν WordPress websites και χρησιμοποιούν δηλητηρίαση μέσω SEO για την εμφάνιση fake forum posts στους επισκέπτες. Αυτά τα posts εμφανίζονται ως ερωτο-απαντήσεις που έχουν ένα link, το οποίο παραπέμπει σε ψεύτικες φόρμες ή λήψεις. Όταν ο χρήστης κάνει κλικ στο link, κατεβαίνει ένα αρχείο ZIP που περιέχει ένα ασαφές αρχείο JS, το οποίο εγκαθιστά είτε το Gootkit malware είτε το Revil ransomware. Η ίδια μέθοδος χρησιμοποιήθηκε από τη συμμορία του REvil τον Σεπτέμβριο του 2019, δηλαδή περίπου την περίοδο που το Gootkit εξαφανίστηκε.

Σε μια νέα έκθεση που κυκλοφόρησε χθες, οι ερευνητές του Malwarebytes εξηγούν ότι τα κακόβουλα JavaScript payloads εκτελούν επιθέσεις είτε του Gootkit είτε του REvil. Όταν ξεκινήσει, το JavaScript script, συνδέεται με τον C&C server και κατεβάζει ένα άλλο script που περιέχει το κακόβουλο malware payload.

Αυτά τα payloads αποθηκεύονται ως κωδικοποιημένα Base64 ή δεκαεξαδικές συμβολοσειρές είτε σε ένα αρχείο κειμένου είτε χωρίζονται σε πολλές τιμές Μητρώου των Windows. Το loader διαβάζει τελικά το Μητρώο ή τα payloads του αρχείου κειμένου, τα αποκωδικοποιεί και ξεκινά τη διαδικασία απευθείας στη μνήμη. Η χρήση ασαφών payloads καθιστά πιο δύσκολο για το λογισμικό ασφαλείας να εντοπίσει τα κακόβουλα payloads.

Αξιοσημείωτο είναι το γεγονός ότι ο ερευνητής ασφαλείας “The Analyst” κατά την διερεύνηση αυτής της κακόβουλης εκστρατείας ανακάλυψε πως η μόλυνση με Revil άφηνε στα θύματα σημειώματα λύτρων που έχουν χρησιμοποιηθεί και σε προηγούμενες επιθέσεις.

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS