Logiciel Malveillant Gootkit Loader

Les opérateurs du Gootkit access-as-a-service (AaaS) les logiciels malveillants ont refait surface avec des techniques mises à jour pour compromettre les victimes sans méfiance.

« Dans le passé, Gootkit utilisait des installateurs de logiciels gratuits pour masquer les fichiers malveillants ; maintenant, il utilise des documents juridiques pour inciter les utilisateurs à télécharger ces fichiers », ont déclaré les chercheurs de Trend Micro, Buddy Tancio et Jed Valderama. a dit dans un article la semaine dernière.

La Cyber-Sécurité

Les conclusions s’appuient sur un précédent rapport d’eSentire, qui avait révélé en janvier des attaques généralisées visant des employés de cabinets comptables et juridiques pour déployer des logiciels malveillants sur des systèmes infectés.

Gootkit fait partie de l’écosystème souterrain proliférant des courtiers d’accès, qui sont connus pour fournir à d’autres acteurs malveillants une voie vers les réseaux d’entreprise moyennant un prix, ouvrant la voie à de véritables attaques dommageables telles que les ransomwares.

Chargeur Gootkit

Le chargeur utilise des résultats de moteurs de recherche malveillants, une technique appelée Empoisonnement du référencementpour inciter les utilisateurs peu méfiants à visiter des sites Web compromis hébergeant des fichiers de packages ZIP contenant des logiciels malveillants prétendument liés à des accords de divulgation pour des transactions immobilières.

Publicité
La Cyber-Sécurité

« La combinaison de l’empoisonnement SEO et des sites Web légitimes compromis peut masquer les indicateurs d’activité malveillante qui garderaient généralement les utilisateurs sur leurs gardes », ont souligné les chercheurs.

Le fichier ZIP, pour sa part, comprend un fichier JavaScript qui charge un binaire Cobalt Strike, un outil utilisé pour les activités de post-exploitation qui s’exécutent directement dans la mémoire sans fichier.

« Gootkit est toujours actif et améliore ses techniques », ont déclaré les chercheurs. « Cela implique que cette opération s’est avérée efficace, car d’autres acteurs de la menace semblent continuer à l’utiliser. »


Rate this post
Publicité
Article précédentLe PDG d’Axie Infinity a déplacé des jetons avant d’informer les investisseurs du piratage et nie les spéculations sur les délits d’initiés
Article suivantLe Honduras attire les touristes investisseurs en crypto avec Bitcoin Valley
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici