Gootkit RAT使用搜索引擎优化通过受损网站传播恶意软件

一个因投递银行特洛伊木马而臭名昭著的框架已被改头换面，以部署更广泛的恶意软件，包括勒索软件有效载荷。

Sophos的研究人员Gabor Szappanos和Andrew Brandt在今天发表的一篇文章中说：“Gootkit恶意软件家族已经存在了五年多了，它是一种成熟的特洛伊木马，其功能以银行凭证盗窃为中心。”。

“近年来，改进其交付方法的努力几乎与改进基于NodeJS的恶意软件本身的努力一样多。”

被称为“Gootloader”的扩展恶意软件交付系统出现在法国、德国、韩国和美国针对用户的感染数量激增之际。

Gootkit最早记录于2014年，是一个基于Javascript的恶意软件平台，能够执行一系列隐蔽活动，包括网络注入、捕捉击键、截图、录制视频，以及电子邮件和密码盗窃。

多年来，网络犯罪工具不断发展，获得了新的信息窃取功能，Gootkit loader与去年报告的REvil/Sodinokibi勒索软件感染一起重新调整了用途。

虽然使用社会工程技巧来传递恶意有效载荷的活动微不足道，但Gootloader将其提升到了一个新的水平。

感染链采用复杂的技术，包括在属于合法企业的网站上托管恶意ZIP存档文件，这些文件已被游戏化，在使用受操纵的搜索引擎优化（SEO）方法的搜索查询中出现在顶级结果中。

此外，搜索引擎的结果指向与搜索查询没有“逻辑”连接的网站，这意味着攻击者必须拥有一个庞大的被黑客网站网络。在研究人员发现的一个案例中，一份房地产协议的建议首次出现在加拿大的一家违反新生儿医疗实践的案例中。

研究人员说：“为了确保捕捉到来自正确地理位置的目标，对手会“在路上”重写网站代码，这样，不在所需国家的网站访问者会看到良性的网络内容，而来自正确位置的访问者则会看到一个页面，上面有一个关于他们所问主题的虚假讨论论坛。”。

点击搜索结果会将用户带到一个类似于留言板的假页面，该页面不仅匹配初始查询中使用的搜索词，还包含一个指向ZIP文件的链接，其中包含一个严重模糊的Javascript文件，该文件启动了下一阶段的妥协，将从远程服务器获取的无文件恶意软件注入内存。

这采取了一种多阶段回避方法的形式，从。NET loader包含一个基于Delphi的loader恶意软件，该恶意软件反过来以加密形式包含最终有效负载。

除了交付REvil勒索软件和Gootkit特洛伊木马，目前还发现多个活动正在利用Gootloader框架在德国秘密交付Kronos金融恶意软件，并在美国秘密交付Cobalt Strike post剥削工具。

目前尚不清楚运营商是如何进入这些网站为恶意注入服务的，但研究人员怀疑攻击者可能是通过安装Gootkit恶意软件或从地下市场购买被盗凭证获得密码的，或者利用与内容管理系统（CMS）软件一起使用的插件中存在的安全缺陷。

微软在一系列推文中呼应了这一发现，并指出它“看到了大量来自Gootkit恶意软件的手控键盘攻击，该恶意软件通过驱动下载作为ZIP文件中的JavaScript分发。”

Sophos威胁研究主管Gabor Szappanos说：“Gootkit背后的开发者似乎已经将资源和精力从仅仅交付他们自己的金融恶意软件转移到为各种有效负载创建一个隐蔽、复杂的交付平台，包括REvil勒索软件。”。

他补充说：“这表明犯罪分子倾向于重复使用他们经验证的解决方案，而不是开发新的交付机制。此外，Gootloader的创造者没有像一些恶意软件分销商那样积极攻击端点工具，而是选择了复杂的回避技术来掩盖最终结果。”。