No Comments

Australischer Gesundheitssektor im Visier der neuesten Gootkit-Malware-Angriffe

 

Eine Welle von Gootkit-Malware-Loader-Angriffen hat den australischen Gesundheitssektor ins Visier genommen, indem legitime Tools wie der VLC Media Player genutzt wurden.

Gootkit, auch Gootloader genannt, ist dafür bekannt, Suchmaschinenoptimierung (SEO)-Vergiftungstaktiken (auch bekannt als Spamdexing) für den anfänglichen Zugriff einzusetzen. Es funktioniert in der Regel, indem es legitime Infrastrukturen kompromittiert und missbraucht und diese Websites mit gemeinsamen Schlüsselwörtern verseucht.

Wie andere Malware dieser Art ist Gootkit in der Lage, Daten aus dem Browser zu stehlen, Adversary-in-the-Browser (AitB)-Angriffe durchzuführen, Keylogging durchzuführen, Screenshots zu machen und andere böswillige Aktionen durchzuführen.

Die neuen Ergebnisse von Trend Micro zeigen, dass die Schlüsselwörter „Krankenhaus“, „Gesundheit“, „Medizinisch“ und „Enterprise Agreement“ mit verschiedenen Städtenamen in Australien gepaart wurden, was die Ausbreitung einer Malware über Wirtschaftsprüfungs- und Anwaltskanzleien hinaus kennzeichnet.

Der Ausgangspunkt des Cyberangriffs besteht darin, Benutzer, die nach denselben Schlüsselwörtern suchen, zu einem infizierten WordPress-Blog zu leiten, der sie dazu verleitet, mit Malware verseuchte ZIP-Dateien herunterzuladen.

„Beim Zugriff auf die Website wird dem Benutzer ein Bildschirm präsentiert, der wie ein legitimes Forum aussieht“, sagten Forscher von Trend Micro. “Benutzer werden dazu gebracht, auf den Link zuzugreifen, damit die schädliche ZIP-Datei heruntergeladen werden kann.”

Darüber hinaus wird der JavaScript-Code, der verwendet wird, um diese Tricks durchzuziehen, in eine gültige JavaScript-Datei an zufälligen Abschnitten auf der angegriffenen Website eingefügt.

Das heruntergeladene ZIP-Archiv enthält seinerseits auch eine JavaScript-Datei, die bei der Ausführung nicht nur verschleiert wird, um sich einer Analyse zu entziehen, sondern auch dazu verwendet wird, durch eine geplante Aufgabe eine Persistenz auf der Maschine herzustellen.

Die Ausführungskette führt anschließend zu einem PowerShell-Skript, das darauf ausgelegt ist, Dateien von einem Remote-Server für Post-Exploitation-Aktivitäten abzurufen, die erst nach einer Wartezeit von einigen Stunden bis zu zwei Tagen beginnen.

„Diese Latenz, die die anfängliche Infektionsphase klar von der zweiten Phase trennt, ist ein charakteristisches Merkmal des Betriebs des Gootkit-Loaders“, sagten die Forscher.

Sobald die Wartezeit verstrichen ist, werden zwei zusätzliche Payloads abgelegt – msdtc.exe und libvlc.dll – erstere ist eine legitime VLC Media Player-Binärdatei, die zum Laden der Cobalt Strike DLL-Komponente verwendet wird, gefolgt vom Herunterladen weiterer Tools, um die Entdeckung zu erleichtern.

„Die böswilligen Akteure hinter [Gootkit] setzen ihre Kampagne aktiv um“, sagten die Forscher. „Die Bedrohungen, die auf bestimmte Berufssektoren, Branchen und geografische Gebiete abzielen, werden immer aggressiver.“

 


Quelle: TheHackerNews

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.