idNSA.id - Operator kampanye GootLoader mengarahkan pandangan mereka pada karyawan akuntansi dan firma hukum sebagai bagian dari serangan baru serangan siber yang meluas untuk menyebarkan malware pada sistem yang terinfeksi, sebuah indikasi bahwa musuh memperluas fokusnya ke target bernilai tinggi lainnya.
"GootLoader adalah malware akses awal yang tersembunyi, yang setelah masuk ke sistem komputer korban, menginfeksi sistem dengan ransomware atau malware mematikan lainnya," kata peneliti dari eSentire.
Penyedia layanan keamanan siber mengatakan telah mencegat dan membongkar penyusupan yang ditujukan ke tiga firma hukum dan sebuah perusahaan akuntansi. Nama-nama korban tidak diungkapkan.
Malware dapat dikirimkan ke sistem target melalui banyak metode, termasuk hasil pencarian yang diracuni, pembaruan palsu, dan aplikasi trojan yang diunduh dari situs yang terhubung ke perangkat lunak bajakan. GootLoader menggunakan teknik pertama.
Pada bulan Maret 2021, detail muncul dari serangan global drive-by-download yang melibatkan penipuan korban yang tidak menaruh curiga untuk mengunjungi situs web WordPress yang disusupi milik bisnis yang sah melalui teknik yang disebut search engine poison yang mendorong situs-situs ini ke bagian atas hasil pencarian.
"Modus operandi (MO) mereka adalah untuk menarik seorang profesional bisnis ke salah satu situs web yang disusupi dan kemudian meminta mereka mengklik tautan, yang mengarah ke Gootloader, yang mencoba mengambil muatan terakhir, apakah itu ransomware, trojan perbankan, atau penyusupan. pencuri alat/kredensial," para peneliti menjelaskan dalam sebuah tulisan.
eSentire memperkirakan bahwa lebih dari 100.000 halaman web berbahaya dibuat tahun lalu di seluruh situs web yang mewakili entitas di industri perhotelan, ritel kelas atas, pendidikan, perawatan kesehatan, musik, dan seni visual, dengan salah satu situs web yang diretas menampung 150 halaman nakal yang dirancang untuk pengguna insinyur sosial mencari perjanjian pasca-nikah atau kekayaan intelektual.
Situs web dibobol dengan mengeksploitasi kerentanan keamanan di sistem manajemen konten WordPress (CMS), secara efektif memungkinkan penyerang untuk secara diam-diam melakukan inject halaman yang mereka sukai tanpa sepengetahuan pemilik situs web.
Sifat GootLoader dan cara ia dirancang untuk menyediakan backdoor ke dalam sistem menyiratkan bahwa tujuan serangan dapat berupa pengumpulan intelijen, tetapi juga dapat digunakan sebagai alat untuk mengirimkan muatan tambahan yang merusak, termasuk Cobalt Strike dan ransomware, untuk dikompromikan sistem untuk serangan lanjutan.
"GootLoader sangat bergantung pada rekayasa sosial untuk membangun pijakannya, mulai dari meracuni hasil pencarian Google hingga membuat muatan," kata Keegan Keplinger, pemimpin penelitian dan pelaporan untuk Unit Respons Ancaman (TRU) eSentire.
"Operator GootLoader mengundang karyawan untuk mencari, mengunduh, dan mengeksekusi malware mereka dengan kedok template perjanjian bisnis gratis. Ini sangat efektif terhadap firma hukum, yang mungkin menghadapi permintaan yang tidak biasa dari klien."
Untuk mengurangi ancaman tersebut, organisasi disarankan untuk menerapkan proses pemeriksaan sampel perjanjian bisnis, melatih karyawan untuk membuka dokumen hanya dari sumber tepercaya, dan memastikan bahwa konten yang diunduh cocok dengan konten yang ingin diunduh.
