Sophos lança pesquisa que detalha os ataques de Gootkit em diversos países

A Sophos, empresa líder global em cibersegurança de próxima geração, acaba de publicar o estudo “Gootloader expande suas opções de entrega de carga útil”, que detalha como o método de entrega para o malware financeiro Gootkit foi desenvolvido em um sistema complexo e furtivo para uma ampla gama de malwares, incluindo ransomwares. Os pesquisadores da Sophos chamaram a plataforma de “Gootloader”, responsável por entregar de forma ativa cargas maliciosas por meio de operações altamente direcionadas nos Estados Unidos, Alemanha e Coreia do Sul. As campanhas anteriores também tiveram como alvo os usuários da Internet na França.

A cadeia de performance do Gootloader começa com técnicas sofisticadas de engenharia social que envolvem sites hackeados, downloads maliciosos e otimização de mecanismo de pesquisa (SEO) manipulada. Dessa forma, quando alguém digita uma pergunta em um dispositivo de busca como o Google, por exemplo, os sites invadidos aparecem entre os principais resultados. O estudo mostra ainda que os sites falsos são visualmente idênticos, independentemente de serem em inglês, alemão ou coreano e, para garantir que os alvos das localidades corretas sejam capturados, os cibercriminosos reescrevem o código do site "em movimento" para que os visitantes que se encontram fora dos países desejados vejam um conteúdo benigno da web, enquanto os do local certo recebem uma página com uma discussão falsa em um fórum sobre o tópico que eles consultaram anteriormente.

O fórum falso de discussão inclui uma postagem de um “administrador do site”, com um link para download contendo um arquivo Javascript malicioso. A partir disso, o ataque prossegue de forma secreta, usando uma ampla gama de complexas técnicas de evasão, várias camadas de ofuscação e fileless malware, injetado na memória ou no registro onde as varreduras de segurança convencionais não podem alcançá-lo.

Segundo Gabor Szappanos, diretor de pesquisa de ameaças da Sophos, os desenvolvedores por trás do Gootkit possivelmente transferiram recursos e energia da entrega de seu próprio malware financeiro para a criação de uma plataforma complexa e furtiva para todos os tipos de cargas úteis.“Os cibercriminosos tendem a reutilizar suas soluções comprovadas em vez de desenvolver novos mecanismos de entrega. Além disso, ao invés de atacar ativamente as ferramentas de endpoint, como fazem alguns distribuidores de malware, os criadores do Gootloader optam por técnicas evasivas complexas que ocultam o resultado final”, comenta.

O diretor explica ainda que os criadores do golpe usam uma série de truques de engenharia social que podem enganar até mesmo usuários de TI qualificados e felizmente, existem alguns sinais de alerta que os usuários da Internet podem observar:“ Isso inclui resultados de pesquisa do Google que apontam para sites de empresas que não têm nenhuma conexão lógica com o conselho que parecem oferecer; aconselhamento que corresponda precisamente aos termos de pesquisa usados na pergunta inicial; e uma página no estilo de 'quadro de mensagens' que parece idêntica aos exemplos mostrados na pesquisa da Sophos, apresentando texto e um link de download que também corresponde precisamente aos termos de pesquisa usados na pesquisa inicial do Google” completa.

Contar com a melhor proteção contra ataques Gootloader é uma solução de segurança abrangente,capaz de verificar atividades suspeitas na memória e proteger contra fileless malwares. É o caso da solução Sophos Intercept X, que protege os usuários detectando as ações e comportamentos de malware como o Gootloader, Cobalt Strike ou o uso de suas técnicas de esvaziamento de processo para injetar malware em um sistema em execução.

Além disso, os usuários do Windows também podem desativar a configuração de exibição “Ocultar extensões para tipos de arquivos conhecidos” no explorador de arquivos do Windows, pois isso permitirá identificar que o download ".zip" entregue pelos invasores contém um outro arquivo com uma extensão ".js." Já no Firefox, bloqueadores de script como o NoScript podem ajudar os internautas a permanecerem seguros, evitando que a substituição da página hackeada apareça em primeiro lugar.

Mais informações sobre essa e outras ameaças cibernéticas estão disponíveis no SophosLabs Uncut, onde os pesquisadores da Sophos publicam regularmente outras pesquisas e descobertas revolucionárias, como "Egregor Ransomware: Aparente Herdeiro do Maze" e "Conti Ransomware: Evasivo por Natureza". Os pesquisadores de ameaças podem acompanhar o SophosLabs Uncut em tempo real no Twitter em @SophosLabs.

Informações adicionais

Sophos relata extensivamente sobre ransomware. Uma nova série de três partes sobre as realidades de Conti Ransomware inclui:

O dia a dia de um ataque do ransomware Conti: Análise de um ataque Conti, incluindo indicadores de comprometimento (IoCs) e táticas, técnicas e procedimentos (TTPs)
Conti Ransomware: Evasivo por Natureza: Uma visão técnica de pesquisadores da SophosLabs
O que esperar quando você for atingido pelo Conti Ransomware: Um guia essencial para administradores de TI

Saiba mais sobre o Sophos Rapid Response que contém, neutraliza e investiga ataques 24 horas por dia, 7 dias por semana
As quatro principais dicas para responder a um incidente de segurança pelo Sophos Rapid Response e Equipe de Managed Threat Response.

Sobre a Sophos

Como líder mundial em cibersegurança de próxima geração, a Sophos protege, das ameaças cibernéticas mais avançadas de hoje, aproximadamente 400.000 organizações de todos os tamanhos, em mais de 150 países. Desenvolvidas pelo SophosLabs - uma equipe global de inteligência de ameaças e ciência de dados - as soluções nativas de nuvem e aprimoradas por IA da Sophos protegem terminais (laptops, servidores e dispositivos móveis) e redes contra táticas e técnicas cibercriminosas em evolução, incluindo ransomware, malware, explorações, extração de dados, violações de adversários ativos, phishing e muito mais. A plataforma de gerenciamento nativa da nuvem, Sophos Central, integra todo o portfólio de produtos de primeira linha da Sophos, incluindo a solução Intercept X endpoint e XG Firewall de última geração, em um único sistema de "segurança sincronizada" acessível por meio de um conjunto de APIs. A Sophos está conduzindo uma transição para a cibersegurança de última geração, alavancando recursos avançados em nuvem, machine learning, APIs, automação, resposta gerenciada a ameaças e muito mais, para oferecer proteção de nível corporativo a organizações de todos os tamanhos. Os produtos da Sophos estão disponíveis exclusivamente através de um canal global, com mais de 53,000 parceiros e provedores de serviços gerenciados (MSPs). A Sophos também disponibiliza inovadoras tecnologias comerciais aos clientes via Sophos Home. A empresa tem sede em Oxford, Reino Unido.