Search the Community

Atacantes estão explorando sites, fornecendo a eles excelente otimização para mecanismo de busca (SEO), com o objetivo de implantar cargas malware para o maior número possível de vítimas. Segundo descoberta da Sophos, o método inclui truques de SEO e o abuso da psicologia humana para jogar sites comprometidos para o topo do ranking do Google. A técnica foi apelidada pelos pesquisadores de Gootloader, pois envolve a implantação da estrutura de infecção para o Gootkit Remote Access Trojan (RAT), que também oferece uma variedade de outras cargas de malware. Através dessa técnica, os criminosos entram nos resultados de pesquisa do Google e fazem com que um resultado malicioso pareça legítimo até mesmo para o Google, diz a Sophos. Para realizar o ataque, os operadores do Gootloader mantêm uma rede de servidores hospedando sites legítimos hackeados. A Sophos estima que cerca de 400 desses servidores estejam em operação. A Sophos diz ainda que não está claro como atacantes obtêm acesso ao back-end dos sites mas, historicamente, esses tipos de comprometimento podem ser o resultado de uma série de métodos, entre eles roubo de senhas ou explorações de segurança nos plugins ou add-ons do sistema de gerenciamento de conteúdo (CMS). Aparentemente, operadores não sabem que seus sites estão sendo abusados desta forma. Aparentemente, a técnica está sendo utilizada para espalhar o trojan bancário Gootkit; Kronos; Cobalt Strike; e o ransomware REvil, entre outras variantes de malware, na Coreia do Sul, Alemanha, França e Estados Unidos. A empresa de segurança dá mais detalhes sobre como o ataque é realizado em publicação em seu blog (em inglês).

Uma nova campanha de phishing tenta enganar vítimas para baixarem uma versão mais recente do trojan Bazar, que segundo o ZDNet surgiu pela primeira vez no ano passado. Uma implantação bem-sucedida do malware pode fornecer aos cibercriminosos um backdoor em sistemas Windows comprometidos, deixando com que eles controlem o dispositivo infectado, obtendo acesso adicional à rede para coletar informações confidenciais ou distribuir malwares, incluindo ransomwares. O foco dos ataques tem sido a setores como saúde, tecnologia, manufatura e logística na América do Norte e Europa. A Fortinet identificou uma nova variante do trojan Bazar, que foi equipado com técnicas de anti-análise para tornar o malware mais difícil de ser detectado pelo software antivírus. Assim, o malware oculta as APIs maliciosas no código, podendo até criptografar certas cadeias de caracteres do código para torná-lo mais difícil de analisar. As novas técnicas foram adicionadas ao Bazar no final de janeiro e coincidiram com uma campanha de phishing projetada para distribuir a versão atualizada do malware. A Fortinet informou que essa campanha de phishing específica do Bazar permanece ativa e as tentativas de ataques são frequentemente detectadas. 😬

Depois de um ano, o cavalo de Troia (trojan) Gootkit voltou à vida ao lado do REvil Ransomware em uma nova campanha visando a Alemanha. Segundo o BleepingComputer, o Gootkit é um malware baseado em Javascript que executa várias atividades maliciosas, podendo dar acesso remoto a atacantes e permitindo a captura de teclas digitadas, gravação de vídeo, roubo de e-mail, roubo de senha e com capacidade de injetar scripts maliciosos para roubar credenciais de bancos online. No ano passado, os cibercriminosos do Gootkit sofreram um vazamento de dados depois de deixar um banco exposto na Internet. Após essa violação, acreditava-se que eles haviam encerrado suas operações, mas na semana passada, um pesquisador de segurança disse ao BleepingComputer que o malware Gootkit surgiu novamente em ataques visando a Alemanha. Na nova campanha, os atacantes estão invadindo sites WordPress e utilizando "envenenamento" de SEO para exibir postagens falsas de fóruns aos visitantes. Essas postagens fingem ser uma pergunta e respostas com um link para formulários ou downloads falsos. Ao clicar no link, o usuário baixa um arquivo ZIP contendo um arquivo JavaScript ofuscado que instala o malware Gootkit ou o ransomware REvil.