Malware GootBot
Los expertos en ciberseguridad han identificado una nueva cepa de malware conocida como GootBot, que exhibe la capacidad de facilitar el movimiento lateral dentro de los sistemas comprometidos mientras elude la detección. Un análisis detallado de esta amenaza indica que aparentemente se trata de una nueva iteración derivada del malware GootLoader descubierto anteriormente.
Significativamente, el grupo GootLoader ha introducido estratégicamente este bot personalizado en las últimas etapas de su flujo de trabajo de ataque en un esfuerzo por eludir los mecanismos de detección, especialmente cuando se emplean herramientas de comando y control (C2) disponibles como CobaltStrike o RDP. Esta variante recientemente emergente se caracteriza por su naturaleza liviana pero su eficacia notable, lo que permite a los actores maliciosos propagarse a través de las redes y desplegar cargas útiles adicionales rápidamente.
GootLoader, como su nombre indica, se especializa en descargar malware de etapa posterior después de atraer a víctimas potenciales mediante tácticas de envenenamiento de optimización de motores de búsqueda (SEO). Esta cepa de malware se ha asociado con un actor de amenazas conocido como Hive0127, también identificado como UNC2565 en la comunidad de ciberseguridad.
Los ataques de malware GootBot pueden implicar resultados de búsqueda envenenados
Las campañas de GootBot descubiertas han adoptado una nueva estrategia que involucra resultados de búsqueda envenenados por SEO relacionados con temas como contratos, formularios legales y otros documentos relacionados con el negocio. Estos resultados de búsqueda manipulados llevan a víctimas desprevenidas a sitios web comprometidos que han sido ingeniosamente diseñados para parecerse a foros legítimos. Aquí, se engaña a las víctimas para que descarguen una carga útil inicial inteligentemente oculta dentro de un archivo comprimido. Este archivo contiene un archivo JavaScript oculto que, cuando se activa, recupera otro archivo JavaScript. Este segundo archivo se ejecuta mediante una tarea programada, asegurando su persistencia dentro del sistema comprometido.
La utilización de GootBot significa un cambio de táctica notable. En lugar de depender de marcos posteriores a la explotación como CobaltStrike, GootBot se emplea como carga útil después de una infección de GootLoader.
GootBot se describe como un script de PowerShell ofuscado con la función principal de conectarse a un sitio de WordPress comprometido con fines de comando y control. Es a través de esta conexión que GootBot recibe más instrucciones, lo que añade complejidad a la situación. En particular, cada muestra de GootBot depositada emplea un servidor de comando y control (C2) distinto y codificado, lo que dificulta bloquear el tráfico de red malicioso de manera efectiva.
El malware GootBot puede realizar varias funciones invasivas en dispositivos infectados
Durante la segunda etapa de la cadena de ataque, un componente de JavaScript ejecuta un script de PowerShell con el fin de recopilar información del sistema y transmitirla a un servidor remoto. En respuesta, el servidor remoto envía un script de PowerShell que se ejecuta en un bucle constante, lo que proporciona al actor de amenazas la capacidad de distribuir varias cargas útiles.
Una de estas cargas útiles es GootBot, que mantiene una comunicación regular con su servidor de comando y control (C2), comunicándose cada 60 segundos para recibir tareas de PowerShell para su ejecución y transmitiendo los resultados a través de solicitudes HTTP POST.
GootBot cuenta con una variedad de capacidades, desde realizar reconocimiento hasta permitir el movimiento lateral dentro del entorno, ampliando efectivamente el alcance del ataque.
La aparición de esta variante de GootBot subraya las amplias medidas que los actores de amenazas están dispuestos a tomar para eludir la detección y operar de forma encubierta. Este cambio en tácticas, técnicas y herramientas eleva significativamente el riesgo asociado con las etapas exitosas posteriores a la explotación, particularmente aquellas relacionadas con las actividades de los afiliados de ransomware asociados a GootLoader.
