اپراتورهای بد افزار Gootkit access-as-a-service (AaaS) با تکنیکهای به روز شده برای به خطر انداختن قربانیان ناآگاه دوباره در فضای سایبری ظاهر شدهاند.
بادی تانسیو و جید والدراما، محققان Trend Micro هفته گذشته در گزارشی گفتند: «در گذشته، Gootkit از نصبکنندههای نرمافزار رایگان برای پوشاندن فایلهای مخرب استفاده میکرد؛ اما اکنون از اسناد قانونی برای فریب کاربران برای دانلود این فایلها استفاده میکند.»
این یافتهها بر اساس گزارش قبلی از eSentire است که در ژانویه حملات گستردهای را با هدف استقرار بد افزار در سیستمهای آلوده به کارمندان حسابداری و شرکتهای حقوقی فاش کرد.
بد افزار Gootkit بخشی از اکوسیستم زیرزمینی در حال گسترش دسترسی بروکرها است، که برای سایر عاملان مخرب راهی برای ورود به شبکههای شرکتی با یک قیمت اندک فراهم میکند و راه را برای حملات آسیبرسان واقعی مانند باجافزار هموار مینماید.
لودر از نتایج موتور جستجوی مخرب استفاده میکند، تکنیکی به نام آلودگی SEO، تا کاربران ناآگاه را به بازدید از وبسایتهای آسیبدیده که میزبان فایلهای پکیج ZIP با بدافزار هستند که ظاهراً مربوط به توافقنامههای افشای معاملات املاک و مستغلات هستند، جذب کند.
محققان خاطرنشان کردند: «ترکیبی از آلودگی سئو و وب سایتهای قانونی در معرض خطر میتواند شاخصهای فعالیت مخربی را که معمولاً برای کاربرانی که مراقب فعالیتهای خود هستند، پنهان کند.»
فایل ZIP، به نوبه خود، شامل یک فایل جاوا اسکریپت است که یک باینری Cobalt Strike را بارگذاری میکند، ابزاری که برای فعالیتهای پس از بهرهبرداری که مستقیماً بدون فایل در حافظه اجرا میشود، استفاده میشود.
محققان گفتند: «Gootkit هنوز فعال است و تکنیکهای خود را بهبود میبخشد. این نشان میدهد که این عملیات مؤثر بوده است، زیرا به نظر میرسد دیگر عوامل تهدید به استفاده از آن روی آورده و ادامه میدهند.»