GootBot Malware

Os especialistas em segurança cibernética identificaram uma nova variedade de malware conhecida como GootBot, que exibe a capacidade de facilitar o movimento lateral dentro de sistemas comprometidos, evitando a detecção. Uma análise detalhada desta ameaça indica que ela é aparentemente uma nova iteração derivada do malware GootLoader descoberto anteriormente.

Significativamente, o grupo GootLoader introduziu estrategicamente esse bot personalizado nos estágios posteriores de seu fluxo de trabalho de ataque, em um esforço para contornar os mecanismos de detecção, especialmente ao empregar ferramentas de comando e controle (C2) prontamente disponíveis, como CobaltStrik e ou RDP. Esta nova variante emergente é caracterizada pela sua natureza leve, mas por uma eficácia notável, permitindo que agentes maliciosos se propaguem através de redes e implantem cargas adicionais rapidamente.

GootLoader, como o próprio nome sugere, é especializado em baixar malware de estágio subsequente após atrair vítimas em potencial por meio de táticas de envenenamento de otimização de mecanismo de pesquisa (SEO). Essa cepa de malware foi associada a um agente de ameaça conhecido como Hive0127, também identificado como UNC2565 na comunidade de segurança cibernética.

Os Ataques do Malware GootBot podem Envolver Resultados de Resquisa Corrompidos

As campanhas descobertas do GootBot adotaram uma nova estratégia envolvendo resultados de pesquisa envenenados por SEO relacionados a tópicos como contratos, formulários jurídicos e outros documentos relacionados a negócios. Esses resultados de pesquisa manipulados levam vítimas inocentes a sites comprometidos que foram engenhosamente projetados para se parecerem com fóruns legítimos. Aqui, as vítimas são enganadas e fazem o download de uma carga inicial inteligentemente escondida em um arquivo compactado. Este arquivo contém um arquivo JavaScript oculto que, quando ativado, recupera outro arquivo JavaScript. Este segundo arquivo é executado através de uma tarefa agendada, garantindo sua persistência dentro do sistema comprometido.

A utilização do GootBot significa uma mudança notável nas táticas. Em vez de depender de estruturas pós-exploração como o CobaltStrike, o GootBot é empregado como uma carga útil após uma infecção pelo GootLoader.

GootBot é descrito como um script PowerShell ofuscado com a função principal de conectar-se a um site WordPress comprometido para fins de comando e controle. É por meio dessa conexão que o GootBot recebe mais instruções, agregando complexidade à situação. Notavelmente, cada amostra GootBot depositada emprega um servidor de comando e controle (C2) distinto e codificado, tornando difícil bloquear efetivamente o tráfego de rede malicioso.

O Malware GootBot pode Vxecutar várias Funções Invasivas nos Dispositivos Infectados

Durante o segundo estágio da cadeia de ataque, um componente JavaScript executa um script PowerShell com o objetivo de coletar informações do sistema e transmiti-las a um servidor remoto. Em resposta, o servidor remoto envia um script do PowerShell que é executado em um loop constante, proporcionando ao agente da ameaça a capacidade de distribuir várias cargas úteis.

Uma dessas cargas é o GootBot, que mantém comunicação regular com seu servidor de Comando e Controle (C2), chegando a cada 60 segundos para receber tarefas do PowerShell para execução e transmitir os resultados por meio de solicitações HTTP POST.

GootBot possui uma gama de capacidades, desde realizar reconhecimento até permitir movimento lateral dentro do ambiente, expandindo efetivamente o escopo do ataque.

O surgimento desta variante do GootBot ressalta as extensas medidas que os atores da ameaça estão dispostos a tomar para escapar da detecção e operar secretamente. Essa mudança nas táticas, técnicas e ferramentas aumenta significativamente o risco associado aos estágios pós-exploração bem-sucedidos, especialmente aqueles relacionados às atividades de afiliados de ransomware associados ao GootLoader.