סופוס מנתחת את Gootloader פלטפורמה למטעני קוד זדוני
Gootloader מסוגלת לספק טווח רחב של קוד זדוני כולל תוכנות כופר, בארה"ב, גרמניה וקוריאה, באמצעות טכניקות חמקנות מורכבות
עמי רוחקס דומבה
| 11/03/2021
bigstock
סופוס פרסמה מחקר חדש בשם "Gootloader Expands Its Payload Delivery Options", אשר מפרט כיצד שיטת הפריסה של הקוד הזדוני הפיננסי Gootkit, הפעיל כבר 6 שנים, הפכה למערכת חמקנית ומורכבת עבור טווח רחב של קוד זדוני, כולל תוכנות כופר.
חוקרי סופוס כינו את הפלטפורמה Gootloader. הפלטפורמה מספקת מטעני קוד זדוני דרך פעילות ממוקדת מאוד בארה"ב, גרמניה ודרום קוריאה. קמפיינים קודמים טרגטו גם משתמשי אינטרנט בצרפת.
שרשרת ההדבקה של Gootloader מתחילה בטכניקות הנדסה חברתית מתוחכמות אשר כוללות אתרים פרוצים, הורדה של קוד זדוני, ועבודת אופטימיזציה של מנועי חיפוש (SEO). כאשר מישהו מקליד שאלה במנוע חיפוש כגון גוגל, האתרים הפרוצים מופיעים בין התוצאות הראשונות.
כדי להבטיח כי המטרות שנלכדות ברשת מגיעות מהאזור הגיאוגרפי המתאים, התוקפים משנים את קוד האתר "תוך כדי תנועה". כך, מבקרים אשר מגיעים מחוץ למדינות המטרה מקבלים תוכן בלתי מזיק, בעוד אלה המגיעים מהאזורים הרצויים מקבלים דף המציג דיון מזויף בנושא אותו הם חיפשו. האתרים המזויפים נראים אותו הדבר, בין אם הם באנגלית, גרמנית או קוריאנית.
הדיון המזויף כולל פוסט מ"מנהל האתר", עם קישור להורדה. ההורדה היא של קובץ Javascript זדוני אשר מפעיל את השלב הבא של ההדבקה. מנקודה זו, ההתקפה ממשיכה באופן סמוי, תוך שימוש במגוון רחב של טכניקות חמקנות מורכבות, הסתרה מתחת לריבוי שכבות, וקוד זדוני נטול-קבצים שמוזרק לתוך הזיכרון או הרג'יסטרי – לשם סריקות אבטחה רגילות אינן יכולות להגיע.
Gootloader מספק את הקוד הזדוני הפיננסי Kronos בגרמניה, ואת כלי הפוסט-פריצה Cobalt Strike בארה"ב ודרום קוריאה. הוא גם מספק את תוכנת הכופר REvil ואת הטרויאני Gootkit.
"המפתחים שמאחורי Gootkit העבירו משאבים ואנרגיות מפריסה של קוד זדוני פיננסי משלהם, אל יצירה של פלטפורמת אספקה מורכבת וחמקנית שתשרת את כל סוגי המטענים, כולל תוכנת הכופר REvil", אמר גבור סזפאנוס, מנהל מחקר איומים בסופוס.
"נראה שהעבריינים נוטים לעשות שימוש חוזר בפתרונות המוכחים שלהם במקום לפתח טכניקות אספקה חדשות. זאת ועוד, במקום לתקוף כלים הפעילים בנקודות הקצה, כפי שעושים חלק ממפיצי הקוד הזדוני, יוצרי Gootloader פנו לטכניקות חמקניות ומפותלות כדי להסתיר את התוצאה הסופית.
״יוצרי Gootloader משתמשים במספר טריקים של הנדסה חברתית אשר יכולים להטעות גם משתמשי IT בעלי ידע טכנולוגי. למרבה המזל, ישנם מספר סימנים שיכולים להתריע בפני המשתמשים על בעיות.
״בין היתר, ניתן לזהות תוצאות חיפוש בגוגל אשר מפנות לאתרים שאינם נראים קשורים לנושא העצות שהם מציעים – עצות אשר תואמות במדויק את המושגים שחופשו, ודף בסגנון "לוח מודעות" שנראה זהה לדוגמאות שבמחקר של סופוס, כאשר הוא מציג טקסט וקישור להורדה אשר תואם בדיוק את המושג שחיפשו אחריו".
ההגנה המקיפה הטובה הטובה ביותר כנגד מתקפות Gootloader היא פתרון אבטחה מקיף אשר יכול לסרוק פעילות חשודה בזכרון המכשיר ולהגן מפני קוד זדוני נטול-קבצים. משתמשי חלונות יכולים גם לכבות את הגדרות התצוגה "Hide Extensions for Known File Types" בדפדפן חלונות, זה יאפשר להם לזהות כי קובץ ה- ZIP שירד למחשב מכיל קובץ עם סיומת .js חוסמי קוד, כגון NoScript עבור FireFox יכול לסייע לגולשים להישאר בטוחים בכך שהם מונעים מהחלופה של דף האתר הפרוץ להופיע מלכתחילה.
Gootloader מסוגלת לספק טווח רחב של קוד זדוני כולל תוכנות כופר, בארה"ב, גרמניה וקוריאה, באמצעות טכניקות חמקנות מורכבות
bigstock
סופוס פרסמה מחקר חדש בשם "Gootloader Expands Its Payload Delivery Options", אשר מפרט כיצד שיטת הפריסה של הקוד הזדוני הפיננסי Gootkit, הפעיל כבר 6 שנים, הפכה למערכת חמקנית ומורכבת עבור טווח רחב של קוד זדוני, כולל תוכנות כופר.
חוקרי סופוס כינו את הפלטפורמה Gootloader. הפלטפורמה מספקת מטעני קוד זדוני דרך פעילות ממוקדת מאוד בארה"ב, גרמניה ודרום קוריאה. קמפיינים קודמים טרגטו גם משתמשי אינטרנט בצרפת.
שרשרת ההדבקה של Gootloader מתחילה בטכניקות הנדסה חברתית מתוחכמות אשר כוללות אתרים פרוצים, הורדה של קוד זדוני, ועבודת אופטימיזציה של מנועי חיפוש (SEO). כאשר מישהו מקליד שאלה במנוע חיפוש כגון גוגל, האתרים הפרוצים מופיעים בין התוצאות הראשונות.
כדי להבטיח כי המטרות שנלכדות ברשת מגיעות מהאזור הגיאוגרפי המתאים, התוקפים משנים את קוד האתר "תוך כדי תנועה". כך, מבקרים אשר מגיעים מחוץ למדינות המטרה מקבלים תוכן בלתי מזיק, בעוד אלה המגיעים מהאזורים הרצויים מקבלים דף המציג דיון מזויף בנושא אותו הם חיפשו. האתרים המזויפים נראים אותו הדבר, בין אם הם באנגלית, גרמנית או קוריאנית.
הדיון המזויף כולל פוסט מ"מנהל האתר", עם קישור להורדה. ההורדה היא של קובץ Javascript זדוני אשר מפעיל את השלב הבא של ההדבקה. מנקודה זו, ההתקפה ממשיכה באופן סמוי, תוך שימוש במגוון רחב של טכניקות חמקנות מורכבות, הסתרה מתחת לריבוי שכבות, וקוד זדוני נטול-קבצים שמוזרק לתוך הזיכרון או הרג'יסטרי – לשם סריקות אבטחה רגילות אינן יכולות להגיע.
Gootloader מספק את הקוד הזדוני הפיננסי Kronos בגרמניה, ואת כלי הפוסט-פריצה Cobalt Strike בארה"ב ודרום קוריאה. הוא גם מספק את תוכנת הכופר REvil ואת הטרויאני Gootkit.
"המפתחים שמאחורי Gootkit העבירו משאבים ואנרגיות מפריסה של קוד זדוני פיננסי משלהם, אל יצירה של פלטפורמת אספקה מורכבת וחמקנית שתשרת את כל סוגי המטענים, כולל תוכנת הכופר REvil", אמר גבור סזפאנוס, מנהל מחקר איומים בסופוס.
"נראה שהעבריינים נוטים לעשות שימוש חוזר בפתרונות המוכחים שלהם במקום לפתח טכניקות אספקה חדשות. זאת ועוד, במקום לתקוף כלים הפעילים בנקודות הקצה, כפי שעושים חלק ממפיצי הקוד הזדוני, יוצרי Gootloader פנו לטכניקות חמקניות ומפותלות כדי להסתיר את התוצאה הסופית.
״יוצרי Gootloader משתמשים במספר טריקים של הנדסה חברתית אשר יכולים להטעות גם משתמשי IT בעלי ידע טכנולוגי. למרבה המזל, ישנם מספר סימנים שיכולים להתריע בפני המשתמשים על בעיות.
״בין היתר, ניתן לזהות תוצאות חיפוש בגוגל אשר מפנות לאתרים שאינם נראים קשורים לנושא העצות שהם מציעים – עצות אשר תואמות במדויק את המושגים שחופשו, ודף בסגנון "לוח מודעות" שנראה זהה לדוגמאות שבמחקר של סופוס, כאשר הוא מציג טקסט וקישור להורדה אשר תואם בדיוק את המושג שחיפשו אחריו".
ההגנה המקיפה הטובה הטובה ביותר כנגד מתקפות Gootloader היא פתרון אבטחה מקיף אשר יכול לסרוק פעילות חשודה בזכרון המכשיר ולהגן מפני קוד זדוני נטול-קבצים. משתמשי חלונות יכולים גם לכבות את הגדרות התצוגה "Hide Extensions for Known File Types" בדפדפן חלונות, זה יאפשר להם לזהות כי קובץ ה- ZIP שירד למחשב מכיל קובץ עם סיומת .js חוסמי קוד, כגון NoScript עבור FireFox יכול לסייע לגולשים להישאר בטוחים בכך שהם מונעים מהחלופה של דף האתר הפרוץ להופיע מלכתחילה.
