Read Time:2 Minutes

Ένα ιδιαίτερα γνωστό framework μεταφοράς κακόβουλου λογισμικού, που χρησιμοποιείται κυρίως για κακόβουλες ενέργειες σε χρηματοπιστωτικές συναλλαγές, φαίνεται πως αναβαθμίστηκε. Ο λόγος για το Gootloader το οποίο μέσω ενός πετυχημένου facelift , βελτίωσε τη δυνατότητα απόκρυψης του από τους διαχειριστές των συστημάτων με παράλληλη διεύρυνση του πλήθους των malwares που δύναται να μεταφέρει, συμπεριλαμβανομένων πλέον και ransomware payloads .

Το Gootloader , γνωστό κυρίως για τα REvil και Gootkit payloads, έχει χρησιμοποιηθεί στο παρελθόν και για τα malware Kronos και Cobalt Strike. Μάλιστα η αναβάθμιση του Gootloader, έρχεται εν μέσω αύξησης του αριθμού τέτοιου είδους επιθέσεων, κυρίως σε χρήστες στη Γαλλία, τη Γερμανία, τη Νότια Κορέα και τις ΗΠΑ .

Όπως επισημαίνουν και τα κορυφαία στελέχη της Sophos, Gabor Szappanos και ο Andrew Brandt, η οικογένεια των Gootkit malwares έχει δεχθεί πλήθος βελτιώσεων την δεκαετία που διανύσαμε. Με το πρώτο documentation του Gootkit να έρχεται το 2014, το εν λόγω malware που βασίζεται σε NodeJS, δίνει την δυνατότητα εκτέλεσης πλήθους κρυφών δραστηριοτήτων όπως web injections, keylogging, λήψη στιγμιότυπων οθόνης, καταγραφή βίντεο, και κλοπή στοιχείων πρόσβασης λογαριασμών email. Οι δυνατότητες αυτές παράλληλα με την ευκολία με την οποία εκτελούνται οι παραπάνω ενέργειες, έχουν κάνει ιδιαίτερα δημοφιλή την χρήση του GoodKit μέσω του Gootloader.

Σχετικά με το τρόπο λειτουργίας του Gootloader, αυτό χρησιμοποιεί τις τεχνικές βελτιστοποίησης μηχανών αναζήτησης (SEO) με κακόβουλο τρόπο , ώστε να επιστρέφονται αποτελέσματα αναζήτησης που παραπέμπουν σε «πλαστές» ιστοσελίδες με υπερσυνδέσμους που προτρέπουν τον χρήστη να τους ακολουθήσει. Οι υπερσύνδεσμοι αυτοί «κατεβάζουν» κάποιο αρχείο ZIP που περιέχει επικίνδυνα JavaScript αρχεία. 

Είναι ακόμα ασαφές ως προς το πώς οι χειριστές τέτοιων εργαλείων αποκτούν πρόσβαση στα διάφορα site για να εκτελέσουν μεθόδους web injection, αλλά οι μηχανικοί κυβερνοασφάλειας υποπτεύονται ότι οι επιτιθέμενοι μπορεί να έχουν αποκτήσει τους κωδικούς πρόσβασης έχοντας ήδη εγκατεστημένο το κακόβουλο λογισμικό Gootkit στους στόχους τους ,αγοράζοντας κλεμμένα διαπιστευτήρια στο Dark web ή ακόμα και εκμεταλλευόμενοι κενά ασφαλείας των διαφόρων plugins .

Σε μια σειρά από tweets η Microsoft ενημερώνει ότι έχει εντοπίσει πολλές κακόβουλες ενέργειες μέσω Gootkit, το οποίο φαίνεται να διανέμεται και μέσω λήψεων από τις διάφορες cloud υπηρεσίες.

Σύμφωνα με τον Gabor Szappanos, διευθυντή κυβερνοασφάλειας στη Sophos, η συνεχιζόμενη προσπάθεια αναβάθμισης διαφόρων frameworks όπως το Gootloader, , δείχνει ότι σε αυτού του είδους τις επιθέσεις τείνουν να επαναχρησιμοποιούνται από τους hackers, οι αποδεδειγμένα επιτυχημένοι τρόποι του παρελθόντος αντί να αναπτύσσονται νέοι πρωτότυποι μηχανισμοί. Για τον λόγο αυτό αναβαθμίζονται οι τεχνικές αποφυγής του εντοπισμού των κακόβουλων προγραμμάτων και διευρύνονται οι δυνατότητες αυτών.

Αν και με προσεκτική παρατήρηση είναι εύκολο για τους χρήστες να αναγνωρίσουν τα σημάδια της εξαπάτησης μέσω πλασματικής αναζήτησης, εντούτοις το πρόβλημα παραμένει, καθώς ακόμα και εκπαιδευμένοι χρήστες τείνουν αρκετές φορές να αγνοούν τις ενδείξεις των κακόβουλων ενεργειών. Για τον λόγο αυτό το μεγαλύτερο βάρος πλέον επωμίζονται οι προγραμματιστές των μηχανών αναζήτησης καθώς αυτοί ουσιαστικά είναι που πρέπει να φέρουν ευθύνη για την ορθότητα του αποτελέσματος που παρουσιάζουν οι μηχανές αναζήτησης στους χρήστες.

About Post Author

Θάνος Δήμου

Λάτρης του time traveling. Μέχρι να το καταφέρει ασχολείται με θέματα τεχνολογίας και επικοινωνιών, ζώντας κάτι μεταξύ "De omnibus dubitandum" και "Timendi causa est nescire".