最近一波Gootkit恶意软件加载程序攻击通过利用VLC Media Player等合法工具瞄准了澳大利亚医疗保健部门。
Gootkit,也称为Gootloader,众所周知,它采用搜索引擎优化(SEO)中毒策略(又名垃圾邮件)进行初始访问。它通常通过破坏和滥用合法基础设施并使用通用关键字为这些网站播种来工作。与其他同类恶意软件一样,Gootkit 能够从浏览器中窃取数据、执行浏览器对手 (AitB) 攻击、键盘记录、截屏和其他恶意操作。
网络攻击的起点是将搜索相同关键字的用户引导到受感染的WordPress博客,该博客诱使他们下载带有恶意软件的ZIP文件。“访问该网站后,用户会看到一个看起来像合法论坛的屏幕,”趋势科技研究人员说。“引导用户访问该链接,以便可以下载恶意ZIP文件。
更重要的是,用于完成这种诡计的 JavaScript 代码被注入到被破坏网站的随机部分的有效 JavaScript 文件中。
下载的ZIP存档,就其本身而言,还包含一个JavaScript文件,在执行时,不仅使用混淆来逃避分析,而且进一步用于通过计划任务在机器上建立持久性。
执行链随后会生成一个 PowerShell 脚本,该脚本旨在从远程服务器检索文件以进行攻击后活动,该脚本仅在等待期(从几个小时到长达两天)后开始。“这种潜伏期清楚地将初始感染阶段与第二阶段分开,是Gootkit加载机操作的一个显着特征,”研究人员说。
等待时间过后,将删除两个额外的有效负载 - msdtc.exe和libvlc.dll - 前者是用于加载Cobalt Strike DLL组件的合法VLC Media Player二进制文件,然后下载更多工具以促进发现。“[Gootkit]背后的恶意行为者正在积极实施他们的活动,”研究人员说。“针对特定就业部门、行业和地理区域的威胁正变得越来越咄咄逼人。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...