Los actores de amenazas asociados con el malware Gootkit han realizado diversos "cambios notables" en su conjunto de herramientas, agregando nuevos componentes y nuevos métodos de ofuscaciones a sus diferentes cadenas de infección.
Gootkit, también llamado Gootloader, se propaga a través de sitios web comprometidos en donde las víctimas son engañadas para visitar cuando buscan documentos relacionados con el negocio, como acuerdos y contratos a través de una técnica llamada optimización de motores de búsqueda (envenenamiento SEO).
Los supuestos documentos toman la forma u aspecto de unos archivos de clase ZIP mediante los cuales albergan el malware de código JavaScript, que cuando se lanza, allana el camino para cargas útiles adicionales como clase de Baliza de ataque de cobalto, FONELAUNCH y SNOWCONE.
FONELAUNCH es una clase de cargador basado en NET diseñado para cargar una carga útil codificada en la memoria, y SNOWCONE es una especie de descargador encargado de recuperar las cargas útiles de la siguiente etapa, generalmente IcedID, a través de HTTP.
Dentro las nuevas clases de variantes que fueron vistas por la firma de inteligencia de amenazas en noviembre de 2022, provocó que estén siendo rastreadas como GOOTLOADER.POWERSHELL. Vale la pena señalar que la cadena de infección renovada también fue documentado por Trend Micro a principios de este mes, que detalla los ataques de Gootkit dirigidos al sector de la salud australiano.
Además, que se dice que los autores de malware han adoptado tres enfoques diferentes para ocultar Gootkit, incluida la ocultación del código dentro de las versiones alteradas de bibliotecas legítimas de código JavaScript como jQuery, Chroma.js y Underscore.js, en un intento de escapar de la detección.
"Estos tipos de cambios presentados son ilustrativos haciendo alusión del desarrollo activo de UNC2565 y el crecimiento de las distintas capacidades", todo lo anterior fue mencionado y publicados por expertos investigadores pro el tema en cuestión.
Una de las posibles formas en que podemos averiguar si este malware se introdujo en nuestro ordenador, lo podemos saber o averiguar de la siguiente manera, ya que, los ciberdelincuentes propagan el troyano GootKit usando campañas de correo basura como Emergency Exit Map.
Casi todas las campañas de spam de este tipo infectan a los equipos mediante enlaces o adjuntos presentes. De una forma u otra, abrir el enlace o el adjunto lleva a la descarga e instalación de un programa malicioso como GootKit u otro tipo de infección informática de alto riesgo.
Los adjuntos presentes suelen ser documentos de Microsoft Office (Word, Excel, etc), PDF o archivos (como ZIP, RAR), archivos ejecutables (.exe), etc. Si, por ejemplo, el adjunto descargado o abierto es un documento MS Office, se pedirá habilitar comandos macro. Si se permiten esos comandos, se dará permiso al malware para que descargue e instale. Lo mismo aplica a otros tipos de adjuntos maliciosos presentes; tienen que abrirse en primer lugar.
Entre las maneras de protección para que no se instalen programas maliciosas al interior de nuestro computador son las siguientes:
Entrar a navegar con cuidado “de forma segura” mediante el acceso a internet. Ya que no abra ningún adjunto o enlace que esté dentro de correos recibidos por parte de direcciones sospechosas, desconocidas o no fiables.
Los ciberdelincuentes presentan tales correos como fiables o importantes; sin embargo, suelen ser irrelevantes para los destinatarios. La mejor forma de mantener a salvo su equipo es ignorando esos correos.
Descargue software solo de sitios web oficiales o de confianza y no use ningún asistente de descargas o instalación de terceros ni cliente de torrents, ya que al usar esas herramientas, los ciberdelincuentes engañan a los usuarios para que descarguen e instalen virus en vez del software esperado. Suelen usar esas herramientas para disfrazar el malware como archivos o programas legítimos
Un posible método en donde se pueda llevar a cabo la eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados.
Referencia y Créditos:
Gootkit Malware Continues to Evolve with New Components and Obfuscations. (s.f.). The Hacker News. https://thehackernews.com/2023/01/gootkit-malware-continues-to-evolve.html
Meskauskas, T. (2019, 27 de enero). Troyano GootKit. Elimine software espía y virus, instrucciones de desinfección, seguridad informática. https://www.pcrisk.es/guias-de-desinfeccion/9036-gootkit-trojan
Commentaires