گونه جدیدی از بدافزار GootLoader را کشف شد که در حال انتشار است. محققان نوع جدیدی از بدافزار GootLoader با نام GootBot را شناسایی کردهاند. این بدافزار جدید، به سرعت منتشر شده و سسیستمهای زیادی را آلوده میکند و به سادگی نیز قابل شناسایی نیست. گروه GootLoader بات اختصاصی خود را به منظور جلوگیری از شناسایی در آخرین مرحله حملات، در زمان استفاده از ابزارهایی C2 نظیر CobaltStrike یا RDP ارائه کرده است. GootBot امکان انتشار سریع در شبکه را به مهاجمان میدهد. بدافزار GootLoader به مهاجمان اجازه میدهد تا پس از جذب قربانیان به کمک راهکارهای SEO، بدافزار مرحله بعدی را برروی سیستم آنها دانلود نماید. GootBot به یک تغییر تاکتیکی اشاره میکند که هدف آن دانلود یک محتوای بدافزاری، پس از آلودهشدن توسط GootLoader است. این بدافزار شامل یک اسکریپت مبهم PowerShell است و هدف آن اتصال به یک سایت وردپرس، جهت فرمان و کنترل و دریافت دستورات بیشتر است. نکته مهم در این میان استفاده از سرور C2 با کدنویسی سخت و منحصر به فرد برای هر نمونه GootBot است که مسدود کردن ترافیک مخرب را دشوار میکند. بدافزار GootBot هر شصت ثانیه یک بار اطلاعات را به سرور C2 خود ارسال میکند تا دستورات جدید PowerShell را برای اجرا دریافت کند و نتایج اجرا را در قالب درخواستهای HTTP POST به سرور منتقل کند. در این شرایط کاربر در سایتهای به ظاهر معتبر و قانونی، اقدام به پر کردن فرمهایی میکند و سپس پیامی به کاربر نشان داده میشود تا یک نسخه آرشیوی از اطلاعات ثبت شده را دانلود کند. این آرشیو با یک کد جاوا اسکریپت آلوده شده است.
بدون دیدگاه