Gootloader程序通过SEO中毒技术进行分发

2024年 5月 28日 124.1k 0

Gootloader 演练

Gootloader,测试于 2024 年 5 月 21 日

分发(SEO poisoning->fake forum->zip->。JS->PowerShell)

大量合法网站已被入侵,并被威胁行为者用来分发 Gootloader。该技术被称为搜索引擎优化 (SEO) 中毒,受害者搜索特定关键字并获取指向搜索结果页面 (SERP) 中那些受感染网站的链接。该恶意软件是从虚假论坛页面下载的,并导致执行脚本,然后回调命令和控制服务器。然后,攻击者可以部署进一步的工具来泄露数据或执行他们喜欢的任何其他操作。为了重播 Gootloader 链,我们首先要搜索关键字“合约”:

Gootloader程序通过SEO中毒技术进行分发-1

我们访问了排名靠前的结果,并立即被重定向到一个看起来像论坛帖子的诱饵页面:

Gootloader程序通过SEO中毒技术进行分发-1

诱饵在下载链接中,据说来自该网站的管理员。值得注意的是,相同的诱饵模板已经使用了多年,因此是一个很好的视觉提示,表明 Gootloader 妥协。下载是一个包含单个 JavaScript 文件的 zip 存档:

Gootloader程序通过SEO中毒技术进行分发-3

威胁参与者使用混淆技术,并将恶意代码与合法部分混合,以隐藏文件的意图:

Gootloader程序通过SEO中毒技术进行分发-4

Process flow

第一个恶意脚本负责通过任务计划程序创建持久性。登录时,将执行位于 %appdata%\Roaming 下路径中的第二个脚本。

Gootloader程序通过SEO中毒技术进行分发-5

Gootloader程序通过SEO中毒技术进行分发-6

最后,执行 PowerShell 时会尝试连接到威胁参与者的命令和控制服务器。

总结

网络流量

Gootloader程序通过SEO中毒技术进行分发-7

Process flow

wscript.exe "C:\Users\Admin\AppData\Local\Temp\call and put contracts 16318.js"
C:\Windows\system32\wscript.EXE GLOBAL~1.JS
    "C:\Windows\System32\cscript.exe" "GLOBAL~1.JS"
        powershell

保护

ThreatDown EDR 记录了以下事件:

Gootloader程序通过SEO中毒技术进行分发-8

恶意 JavaScript

Gootloader程序通过SEO中毒技术进行分发-9

Gootloader程序通过SEO中毒技术进行分发-2

PowerShell 执行

Gootloader程序通过SEO中毒技术进行分发-11

Gootloader程序通过SEO中毒技术进行分发-12

缓解措施

Gootloader 继续通过利用在 Google 搜索结果中排名靠前的受感染网站来瞄准企业用户。这种技术被称为SEO中毒,是涉及社会工程的感染链的第一步。

脚本执行监控对于检测初始访问和阻止恶意软件回调其恶意基础架构至关重要。与 Gootloader 的 C2 服务器保持同步还使组织能够防止数据泄露。

妥协指标 (IOC)

Gootloader zip 网址

clintkustoms[.]com/manual.php

Zip

Call_and_put_contracts_70199.zip2efabb155d9d8fc56b5eb3dfdc83b3f3f9099a7c0bc87ff8f9b7550d587d5b35

脚本

call and put contracts 16318.js
f8f3fa45eced0c32fbbf912f3f8ba6100a8b59e14f12a125c88340a47cf7e57b

任务计划程序脚本

GLOBAL~1.JS
a92381a403a1463b64ebc547de7ec2a4225a7755d23c4e56503582b9cb33c3c8

C2s

virdo[.]ir
shoreditchtownhall[.]com
spst[.]in
budgetvm[.]com
montebello6[.]se
sachverstaendiger-fenster[.]net
ashleyhomeonline[.]com
pureapks[.]xyz
ebtekarsteel[.]com
theclose[.]com

参考链接:    https://www.threatdown.com/blog/gootloader-05-23-2024/

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论