Операторы вредоносного ПО Gootkit Loader, работющие по модели «доступ как услуга» ( Access-as-a-Service, AaaS ) вновь представили обновленные методы незаметной компрометации жертв. Согласно отчету Trend Micro, раньше Gootkit использовал бесплатные установщики для маскировки вредоносных файлов, а теперь он использует юридические документы, чтобы заставить пользователя загружать эти файлы.
Gootkit является частью разрастающейся AaaS-модели, которая за определенную плату предоставляет другим хакерам доступ к корпоративным сетям, прокладывая путь для дальнейших вредоносных атак, поясняет Securitylab.
Загрузчик использует метод отравления SEO , показывая вредоносные результаты поисковой системы, чтобы заманить ничего не подозревающего пользователя на скомпрометированный веб-сайт. На зараженном сайте размещены ZIP-файлы с вредоносным ПО, предположительно связанные с соглашениями о раскрытии информации о сделках с недвижимостью. ZIP-файл запускает JavaScript-файл, который загружает двоичный файл Cobalt Strike.
«Сочетание SEO-отравления и скомпрометированного веб-сайта может маскировать признаки вредоносной активности, которые обычно заставляют пользователя быть начеку», — отметили исследователи.
По словам экспертов, операторы Gootkit ещё будут совершенствовать инструменты компрометации. Более того, другие злоумышленники, продолжают использовать описанный метод в своих атаках.