Hacker les hackers : Gootloader est une opération cybercriminelle de longue date basée sur un modèle « d’accès initial en tant que service » : le gang derrière le logiciel malveillant infecte les organisations. Ensuite, il vend l’accès aux « clients » à la recherche d’un point d’entrée pour pénétrer plus profondément dans le réseau de la victime. Pour réussir à contrecarrer l’opération, les chercheurs ont combattu le feu par le feu.
Le malware Gootloader est issu du cheval de Troie bancaire Gootkit, qui est actif contre des cibles européennes depuis 2010. L’opération malveillante permet à des criminels tiers de placer leurs malwares (en particulier les ransomwares) dans un réseau compromis. Le gang derrière cela a été particulièrement réussi au cours des dernières années.
Les chercheurs en sécurité d’eSentire ont suivi les activités récentes de Gootloader et sont maintenant expliquant comment cela fonctionne et ce qui est nécessaire pour le combattre. L’opération Gootloader utilise des techniques d’empoisonnement SEO, attirant les victimes potentielles vers un « énorme éventail » de blogs WordPress compromis.
L’opération est taillée sur mesure pour exploiter les victimes les plus enclines à payer une rançon pour récupérer leurs données. Les blogs sont remplis de contenu appât, y compris des liens vers des documents malveillants, des modèles et d’autres formulaires génériques. Lorsque la cible clique sur ces liens, elle infecte involontairement Windows avec le principal malware Gootloader.
Les victimes les plus courantes de Gootloader sont des professionnels travaillant pour des cabinets d’avocats et des services juridiques d’entreprises. Les analystes expliquent que les mauvais acteurs utilisent des articles de blog sur les accords juridiques et les contrats pour inciter les personnes occupant ces postes à télécharger leur code malveillant. Les professionnels du droit ont essentiellement été la cible principale du gang Gootloader au cours des 15 derniers mois, avec 12 organisations différentes ciblées entre janvier et mars 2023.
Les chercheurs d’eSentire ont créé un robot d’exploration Web spécialisé pour suivre les pages Web liées à Gootloader et les sites précédemment infectés. Ils ont trouvé environ 178 000 pages Gootloader en direct et plus de 100 000 autres sites précédemment infectés. Les chercheurs ont recueilli des preuves qui relient Gootloader au tristement célèbre gang russe REvil, qui s’est régulièrement associé au réseau du malware entre 2019 et 2020 pour infecter, chiffrer et arnaquer les organisations compromises.
Gootloader protège également ses articles de blog empoisonnés en n’affichant jamais les messages malveillants aux utilisateurs connectés, une tactique intelligente pour éviter d’alarmer les administrateurs du site. Les opérateurs de logiciels malveillants bloquent en permanence les adresses IP des administrateurs, ainsi que « plusieurs netblocks au-dessus et en dessous de leurs adresses IP », afin que les utilisateurs de ces netblocks ne voient jamais les pages contenant des liens malveillants.
Gootloader vérifie quotidiennement la page source des logiciels malveillants, afin que les chercheurs puissent « protéger sélectivement n’importe qui » du logiciel malveillant en utilisant le système de blocage du logiciel malveillant contre celui-ci. Tout ce que les chercheurs ont à faire est de visiter la page de charge utile avec l’adresse IP qu’ils souhaitent inclure dans la liste d’interdiction des administrateurs.
Même si les chercheurs ne déclarent pas encore la victoire, eSentire « peut potentiellement protéger de larges pans d’Internet » de Gootloader. Maintenant qu’ils ont divulgué publiquement cette atténuation, les chercheurs s’attendent à ce que le gang Gootloader modifie son système de blocage. Le jeu du chat et de la souris entre les professionnels de la sécurité et les cybercriminels va donc continuer. L’équipe est prête et regarde.
