מחקר: ניתוח Gootloader - פלטפורמה למטעני קוד זדוני
מאת:
מערכת Telecom News, 10.3.21, 16:05
Gootloader מסוגלת לספק טווח רחב של קוד זדוני כולל תוכנות כופר באמצעות טכניקות חמקנות מורכבות. כיצד שיטת הפריסה של הקוד הזדוני הפיננסי Gootkit, שפעיל כבר 6 שנים, הפכה למערכת חמקנית ומורכבת עבור טווח רחב של קוד זדוני, כולל תוכנות כופר?
סופוס, שעוסקת באבטחת סייבר של הדור הבא, פרסמה מחקר בשם "
Gootloader Expands Its Payload Delivery Options", שמפרט כיצד שיטת הפריסה של הקוד הזדוני הפיננסי
Gootkit, שפעיל כבר 6 שנים, הפכה למערכת חמקנית ומורכבת עבור טווח רחב של קוד זדוני, כולל תוכנות כופר.
חוקרי החברה כינו את הפלטפורמה
Gootloader. הפלטפורמה מספקת מטעני קוד זדוני דרך פעילות ממוקדת מאוד בארה"ב, גרמניה ודרום קוריאה. קמפיינים קודמים טרגטו גם משתמשי אינטרנט בצרפת.
שרשרת ההדבקה של
Gootloader מתחילה בטכניקות הנדסה חברתית מתוחכמות הכוללות אתרים פרוצים, הורדה של קוד זדוני, ועבודת אופטימיזציה של מנועי חיפוש (
SEO). כאשר מישהו מקליד שאלה במנוע חיפוש כגון גוגל, האתרים הפרוצים מופיעים בין התוצאות הראשונות.
כדי להבטיח, שהמטרות הנלכדות ברשת מגיעות מהאזור הגיאוגרפי המתאים, התוקפים משנים את קוד האתר "תוך כדי תנועה". כך, מבקרים המגיעים מחוץ למדינות המטרה מקבלים תוכן בלתי מזיק, בעוד אלה המגיעים מהאזורים הרצויים מקבלים דף המציג דיון מזויף בנושא אותו הם חיפשו. האתרים המזויפים נראים אותו הדבר, בין אם הם באנגלית, גרמנית או קוריאנית.
הדיון המזויף כולל פוסט מ"מנהל האתר", עם קישור להורדה. ההורדה היא של קובץ
Javascript זדוני המפעיל את השלב הבא של ההדבקה. מנקודה זו, ההתקפה ממשיכה באופן סמוי, תוך שימוש במגוון רחב של טכניקות חמקנות מורכבות, הסתרה מתחת לריבוי שכבות, וקוד זדוני נטול-קבצים המוזרק לתוך הזיכרון או הרג'יסטרי - לשם סריקות אבטחה רגילות אינן יכולות להגיע.
Gootloader מספק את הקוד הזדוני הפיננסי
Kronos בגרמניה, ואת כלי הפוסט-פריצה
Cobalt Strike בארה"ב ודרום קוריאה. הוא גם מספק את תוכנת הכופר
REvil ואת הטרויאני
Gootkit.
גבור סזפאנוס, מנהל מחקר איומים בסופוס: "נראה שהמפתחים מאחורי
Gootkit העבירו משאבים ואנרגיות מפריסה של קוד זדוני פיננסי משלהם, אל יצירה של פלטפורמת אספקה מורכבת וחמקנית, שתשרת את כל סוגי המטענים, כולל תוכנת הכופר
REvil.
נראה, שהעבריינים נוטים לעשות שימוש חוזר בפתרונות המוכחים שלהם במקום לפתח טכניקות אספקה חדשות. זאת ועוד, במקום לתקוף כלים הפעילים בנקודות הקצה, כפי שעושים חלק ממפיצי הקוד הזדוני, יוצרי
Gootloader פנו לטכניקות חמקניות ומפותלות כדי להסתיר את התוצאה הסופית.
יוצרי
Gootloader משתמשים במספר טריקים של הנדסה חברתית
היכולים להטעות גם משתמשי IT בעלי ידע טכנולוגי. למרבה המזל, ישנם מספר סימנים, שיכולים להתריע בפני המשתמשים על בעיות. בין היתר, ניתן לזהות תוצאות חיפוש בגוגל המפנות לאתרים, שאינם נראים קשורים לנושא העצות, שהם מציעים, עצות התואמות במדויק את המושגים שחופשו, ודף בסגנון 'לוח מודעות', שנראה זהה לדוגמאות שבמחקר של החברה, כאשר הוא מציג טקסט וקישור להורדה התואם בדיוק את המושג, שחיפשו אחריו".
ההגנה המקיפה הטובה הטובה ביותר כנגד מתקפות
Gootloader היא פתרון אבטחה מקיף, שיכול לסרוק פעילות חשודה בזכרון המכשיר ולהגן מפני קוד זדוני נטול-קבצים. משתמשי חלונות יכולים גם לכבות את הגדרות התצוגה
Hide Extensions for Known File Types בדפדפן חלונות. זה יאפשר להם לזהות, שקובץ ה-
ZIP, שירד למחשב ,מכיל קובץ עם סיומת
.js חוסמי קוד, כגון
NoScript עבור
FireFox יכולים לסייע לגולשים להישאר בטוחים בכך, שהם מונעים מהחלופה של דף האתר הפרוץ להופיע מלכתחילה.