研究人员警告称,Gootloader广告系列通常针对美国,德国,法国和韩国的用户。
网络犯罪社区的攻击手段已经非常复杂,可以诱骗Google显示恶意搜索结果,并使全球数百万用户面临恶意软件感染的风险。
在最新的版本中,Gootloader再次提供了附加功能,并通过搜索引擎优化(SEO)来利用网站来传播像Kronos这样的讨厌的银行木马。
Gootloader扩展有效载荷传递机制
Gootloader是以前分发Gootkit恶意软件的恶意软件加载器。但是,Sophos网络安全公司的最新研究表明,Gootloader已发展成为一个复杂的加载器框架,并将其有效载荷传递扩展到了Gootkit恶意软件家族之外。
研究人员认为,就有效载荷交付而言,该装载机已经复兴,现在该装载机包括Kronos特洛伊木马和Cobalt Strike恶意软件,可能还包括REvil勒索软件。
Sophos声称Gootloader广告系列通常针对美国,德国,法国和韩国的用户。
什么是Gootloader?
它是基于Java的恶意软件工具或框架,以前提供了Gootkit恶意软件家族,尤其是Gootkit远程访问木马。该恶意软件家族大约在5年前被发现,如今已演变为旨在窃取银行凭据的复杂木马。
由于它已加入基于NodeJS的恶意软件,因此其交付方式已得到显着改善。
它如何使用Google SEO中毒
Gootloader现在可以使用Google SEO中毒获得牵引力,并启动多阶段攻击过程。研究人员指出,恶意软件加载程序使用SEO中毒进行恶意软件分发。
SEO中毒是一种古老的策略,在这种策略中,加载程序利用攻击者控制的网站中的SEO友好关键字/术语。这样一来,这些网站就可以在Google的搜索索引中排名更高,并且毫无疑问的用户会吸引到这些受感染的网站。这些站点通常包含立即启动Gootloader攻击链的链接。
使用被黑网站的Gootloader恶意软件
为了执行SEO中毒,Gootloader攻击者已经破坏了许多合法网站,他们将其维护在400台服务器的网络上。
尚不清楚攻击者如何获得对网站后端的访问权限,但传统上,这种折衷源于许多不同的方法。
“攻击者可能只是从Gootkit恶意软件本身,从以窃取的凭证进行交易的许多犯罪市场中的任何一个,或通过利用插件或附加组件中的许多安全漏洞中的任何一个来获取站点的密码。 CMS软件”,研究人员在博客文章中指出。
无文件恶意软件传送
除了使用SEO中毒外,另一个使Gootloader脱颖而出的策略是它执行无文件恶意软件传递。在无文件恶意软件分发中,使用合法且受信任的过程(例如PowerShell)逃避防病毒产品并确保不间断的恶意软件分发。
最终外卖
那里有多个搜索引擎,但是,如果您更喜欢使用Google,请在不采取安全预防措施的情况下不要信任每一个结果。确保在系统上安装了更新的反恶意软件,并养成在打开文件或链接之前先进行扫描的习惯。
(来源:HACKREAD)