Seis escritórios de advocacia diferentes nos EUA foram atacados em janeiro e fevereiro de 2023 por duas de ameaças diferentes que distribuíam cepas de malware GootLoader e FakeUpdates (também conhecido como SocGholish).
O GootLoader, ativo desde o final de 2020, é um downloader de primeiro estágio capaz de fornecer uma ampla variedade de cargas secundárias, como Cobalt Strike e ransomware.
Como os malwares agem
Ele utiliza um envenenamento por otimização de mecanismo de busca (SEO) para canalizar as vítimas que procuram documentos relacionados a negócios em sites de download que contêm o JavaScript do malware.
Os agentes de ameaças comprometeram sites em WordPress legítimos, mas vulneráveis, e adicionaram novas postagens de blog sem o conhecimento dos proprietários.
Quando o usuário do computador navega em uma dessas páginas maliciosas e acessa o link para baixar o suposto contrato comercial, ele está baixando o GootLoader sem saber.
A divulgação dessa ameaça é a mais recente de uma onda de ataques que utilizaram o ‘loader’ do malware Gootkit para violar alvos.
O GootLoader está longe de ser o único malware em JavaScript direcionado a profissionais buscando informações comerciais e funcionários de escritórios de advocacia. Um segundo conjunto de ataques também envolveu o uso do SocGholish, que é um downloader capaz de baixar mais executáveis.
A cadeia de infecção é ainda mais significativa para tirar proveito de um site frequentado por escritórios de advocacia como um ponto de encontro para distribuir o malware sob o disfarce de atualizações falsas do navegador.
Outro aspecto de destaque dos conjuntos de intrusão gêmea na ausência de implantação de ransomware, favorecendo a atividade prática, sugerindo que os ataques poderiam ter diversificado seu escopo para incluir operações de espionagem.
Antes de 2021, o e-mail era o principal vetor de infecção usado por agentes de ameaças oportunistas. De 2021 a 2023, os ataques baseados em navegador cresceram constantemente para competir com o e-mail como o principal vetor de infecção.
Isso se deve em grande parte ao GootLoader, SocGholish, SolarMarker e campanhas recentes que utilizam o Google Ads para exibir os principais resultados de pesquisa.
No Brasil ainda não há registros de ataques deste tipo em escritórios de advocacia, mas é que estão de tempo até que as ameaçam comecem a fazer vítimas por aqui.
A prevenção e contínuos testes de vulnerabilidade são as melhores opções para garantir que sua empresa esteja preparada para ataques deste tipo.
Fonte: TheHackNews – março de 2023