Malware GootLoader mira buscas específicas para infectar dispositivos com JavaScript malicioso
Uma nova campanha do malware GootLoader tem como alvo usuários que pesquisam sobre a legalidade de gatos Bengal na Austrália. A operação é peculiar: cibercriminosos utilizam resultados de busca sobre a questão “Os gatos Bengal são legais na Austrália?” para distribuir o malware, de acordo com um relatório dos pesquisadores da Sophos publicado recentemente. O GootLoader é um tipo de malware loader que utiliza táticas de envenenamento de SEO para aparecer nos resultados de busca e infectar dispositivos.
Como Funciona o Ataque
A técnica usada pelos invasores envolve a manipulação de termos como documentos legais e acordos. Os usuários, ao clicarem em links maliciosos presentes em sites comprometidos, recebem um arquivo ZIP que contém um payload em JavaScript. Esse arquivo inicia uma série de etapas que frequentemente resultam na instalação do GootKit, um trojan especializado em roubo de dados e acesso remoto.
Outras Ameaças Associadas
Embora o GootKit seja o foco, o GootLoader também distribui outros malwares perigosos, como Cobalt Strike, IcedID, Kronos, REvil e SystemBC, que são usados em ataques mais amplos de pós-exploração. A presença dessas ameaças diversificadas reflete a capacidade do GootLoader de se adaptar para múltiplas finalidades criminosas, aumentando seu risco.
Tática de SEO: Um Vínculo com Malware como Serviço
Segundo a Sophos, o GootLoader opera como parte de uma rede de distribuição de malware como serviço (MaaS) que se apoia em técnicas de SEO para atingir suas vítimas. Embora o uso de otimização de motores de busca não seja novidade, o GootLoader utiliza essa abordagem desde, pelo menos, 2020. Essa persistência sugere um sucesso contínuo dos cibercriminosos em alcançar suas vítimas ao manipular tendências de pesquisa e publicidade.
Essa nova campanha destaca a importância de práticas seguras de navegação e a necessidade de atenção ao baixar arquivos da internet, principalmente ao tratar temas de interesse público que podem ser alvos de exploração maliciosa.
Fonte: Boletim Sec