Gootloader é uma operação cibercriminosa de longa duração baseada em um modelo de “acesso inicial como serviço”: a gangue por trás do malware infecta organizações. Em seguida, vende acesso a “clientes” que procuram um ponto de entrada para se aprofundar na rede da vítima. Para frustrar a operação com sucesso, os pesquisadores combateram fogo com fogo.
Leia também: Malware é descoberto em 60 aplicativos Android com mais de 100 milhões de downloads
Malware para proteger possíveis vítimas de malware
O malware Gootloader se originou do trojan bancário Gootkit, que está ativo contra alvos europeus desde 2010. A operação maliciosa permite que criminosos de terceiros coloquem seu malware (especialmente ransomware) em uma rede comprometida. A gangue por trás disso tem sido particularmente bem-sucedida nos últimos anos.
Os pesquisadores de segurança da eSentire rastrearam as atividades recentes do Gootloader e agora estão explicando como ele funciona e o que é necessário para combatê-lo. A operação do Gootloader usa técnicas de envenenamento de SEO, atraindo vítimas em potencial para uma “enorme variedade” de blogs WordPress comprometidos.
A operação é adaptada para explorar vítimas mais inclinadas a pagar um resgate para recuperar seus dados. Os blogs são preenchidos com conteúdo de isca, incluindo links para documentos maliciosos, modelos e outros formulários genéricos. Quando o alvo clica nesses links, ele infecta involuntariamente o Windows com o principal malware Gootloader.
As vítimas mais comuns do Gootloader são profissionais que trabalham para escritórios de advocacia e departamentos jurídicos corporativos. Os analistas explicam que os malfeitores usam postagens de blog sobre acordos e contratos legais para atrair as pessoas nessas posições para que baixem seu código malicioso.
Os profissionais jurídicos têm sido essencialmente o alvo principal da gangue Gootloader nos últimos 15 meses, com 12 organizações diferentes visadas entre janeiro e março de 2023.
Os pesquisadores do eSentire criaram um rastreador da Web especializado para rastrear páginas da Web relacionadas ao Gootloader e sites infectados anteriormente. Eles encontraram cerca de 178.000 páginas ao vivo do Gootloader e mais de 100.000 sites infectados anteriormente.
Os pesquisadores coletaram evidências que ligam o Gootloader à infame gangue russa REvil, que regularmente fazia parceria com a rede do malware entre 2019 e 2020 para infectar, criptografar e enganar organizações comprometidas.
O Gootloader também protege suas postagens de blog envenenadas, nunca exibindo as postagens maliciosas para usuários logados, uma tática inteligente para evitar alarmar os administradores do site.
Os operadores de malware bloqueiam permanentemente os endereços IP dos administradores, bem como “vários netblocks acima e abaixo de seus endereços IP”, para que os usuários dentro desses netblocks nunca vejam as páginas com links maliciosos.
O Gootloader verifica a página de origem do malware diariamente, para que os pesquisadores possam “manter alguém seletivamente” a salvo do malware usando o sistema de bloqueio do malware contra ele.
Tudo o que os pesquisadores precisam fazer é visitar a página de carga útil com qualquer endereço IP que desejam incluir na lista de banimentos do administrador.
Mesmo que os pesquisadores ainda não estejam declarando vitória, o eSentire “pode potencialmente proteger amplas áreas da Internet” do Gootloader.
Agora que divulgaram publicamente essa mitigação, os pesquisadores esperam que a gangue Gootloader mude seu sistema de bloqueio. Portanto, o jogo de gato e rato entre profissionais de segurança e cibercriminosos continuará. A equipe está pronta e atenta.
