Operator malware Gootkit access-as-a-service (AaaS) telah muncul kembali dengan teknik terbaru untuk mengkompromikan korban yang tidak menaruh curiga.
“Dulu, Gootkit menggunakan penginstal freeware untuk menutupi file berbahaya; sekarang Gootkit menggunakan dokumen legal untuk mengelabui pengguna agar mengunduh file ini,” kata peneliti Trend Micro Buddy Tancio dan Jed Valderama dalam sebuah tulisan minggu lalu.
Temuan ini didasarkan pada laporan sebelumnya dari eSentire, yang mengungkapkan pada bulan Januari tentang serangan luas yang ditujukan kepada karyawan akuntansi dan firma hukum untuk menyebarkan malware pada sistem yang terinfeksi.
Gootkit adalah bagian dari ekosistem bawah tanah yang berkembang biak dari pialang akses, yang dikenal menyediakan jalan bagi pelaku jahat lainnya ke jaringan perusahaan dengan harga tertentu, membuka jalan bagi serangan merusak yang sebenarnya seperti ransomware.
Pemuat menggunakan hasil mesin pencari berbahaya, teknik yang disebut keracunan SEO, untuk memikat pengguna yang tidak curiga agar mengunjungi situs web yang disusupi yang menghosting file paket ZIP yang mengandung malware yang konon terkait dengan perjanjian pengungkapan untuk transaksi real estat.
“Kombinasi keracunan SEO dan situs web sah yang disusupi dapat menutupi indikator aktivitas jahat yang biasanya membuat pengguna waspada,” para peneliti menunjukkan.
File ZIP, pada bagiannya, termasuk file JavaScript yang memuat biner Cobalt Strike, alat yang digunakan untuk aktivitas pasca-eksploitasi yang berjalan langsung di memori tanpa file.
“Gootkit masih aktif dan meningkatkan tekniknya,” kata para peneliti. “Ini menyiratkan bahwa operasi ini terbukti efektif, karena aktor ancaman lain tampaknya terus menggunakannya.”