Firmy prawnicze celem kampanii złośliwego oprogramowania GootLoader i FakeUpdates

Ruszyły dwie kampanie

Firmy prawnicze są jednym z głównych celów cyberprzestępców, ponieważ mają dostęp do poufnych informacji. Według eSentire, firmy zajmującej się cyberbezpieczeństwem, w styczniu i lutym 2023 sześć różnych firm prawniczych zostało celem ataku dwóch osobnych kampanii, w których wykorzystano złośliwe oprogramowanie GootLoader i SocGholish . W atakach wykorzystano wyrafinowane techniki infiltracji sieci i systemów firm prawniczych.

GootLoader to program do pobierania, który został po raz pierwszy zidentyfikowany pod koniec 2020 roku . Od tamtego czasu jest wykorzystywany do dostarczania szerokiej gamy dodatkowych ładunków, takich jak Cobalt Strike i ransomware. To złośliwe oprogramowanie wykorzystuje zatruwanie SEO, aby kierować ofiary szukające dokumentów związanych z biznesem do witryn pobierania, które dostarczają na komputer złośliwe oprogramowanie JavaScript.

W pierwszej kampanii atakujący włamali się na strony WordPress, by dodać na blogu nowe posty zawierające słowa kluczowe związane z prawem. Zainfekowane blogi były wykorzystywane, by przyciągnąć osoby zainteresowane prawem i zwiększyć rankingi witryn w wyszukiwarkach. Ofiary były następnie kierowane na fałszywą stronę forum, gdzie proszono je o pobranie rzekomej umowy lub szablonu umowy, które w rzeczywistości były programem GoodLoader.

Złośliwe oprogramowanie SocGholish, znane również jako FakeUpdates, zostało wykorzystane przez atakujących w drugiej kampanii do atakowania pracowników firm prawniczych i innych profesjonalistów biznesowych. Umożliwia ono atakującym przeprowadzenie rekonesansu i uruchamianie kolejnych ładunków, takich jak Cobalt Strike i ransomware LockBit.

Ataki wykorzystywały zatrute domeny, w tym przejętą stronę internetową firmy notarialnej z Miami. Zhakowana strona udostępniała wirusa SocGholish zamiast wyskakującego okienka z powiadomieniem doradzającym użytkownikom aktualizację przeglądarki Chrome. Twórcy SocGholish infekują dużą liczbę stron o mniejszym ruchu, aby przejąć strony ważnych podmiotów, takich jak firmy prawnicze.

Wrażliwe informacje o klientach, ludziach i użytkownikach to atrakcyjny cel dla hakerów i różnych cyberprzestępców. Takie kampanie, w których pojawia się coraz więcej złodziei informacji, są powszechne. Inne ataki na określone firmy, takie jak Google czy platformy mediów społecznościowych, mogą ujawnić szczegóły danych użytkowników i prowadzić do bezpośrednich oszustw.

Koncentracja na szpiegostwie

Ataki na firmy prawnicze wykorzystujące złośliwe oprogramowanie GootLoader i SocGholish budzą niepokój, ponieważ wygląda na to, że koncentrują się na operacjach szpiegowskich, a nie na zyskach finansowych. Atakujący nie wdrożyli żadnego ransomware, a zamiast tego preferują działania bezpośrednie. To sugeruje, że ataki mogły mieć zróżnicowany zakres i obejmować operacje cyberszpiegowskie. Jak zauważa badacz eSentire, Keegan Keplinger :

Przed 2021 rokiem poczta e-mail była głównym wektorem infekcji wykorzystywanym przez oportunistycznych cyberprzestępców. Od 2021 do 2023 roku ataki oparte na przeglądarkach stale rosły i konkurują z e-mailami, jako główym wektorem infekcji.

Ta tendencja jest w dużej mierze zasługą GootLoader, SocGholish, SolarMarker i niedawnych kampanii wykorzystujących Google Ads do wyświetlania najlepszych wyników wyszukiwania.

Poza potencjalną utratą poufnych informacji, firmy prawnicze i inne firmy będące celem ataków malware mogą ponieść poważne konsekwencje prawne. GootLoader wykorzystuje oszukańcze praktyki SEO, aby wyświetlać stronę w istotnych wynikach wyszukiwania Google, co naraża użytkowników korzystających ze stron internetowych na ataki złośliwego oprogramowania.

Problem polega na tym, że to oprogramowanie do pobierania zmienia obecne strony internetowe, żeby oferować różne strony za każdym razem, kiedy odwiedzany jest link, zmieniając sposób, w jaki postrzegają je poszczególne osoby. Może to prowadzić do surowych grzywien i ryzyka potencjalnych prób phishingu, ponieważ GootLoader wysyła użytkowników na stronę, która może być wykorzystana jako „pułapka” lub „przynęta” na nieostrożnych użytkowników.

Środki zapobiegawcze, które należy podjąć

Aby zapobiec atakom ze strony GootLoader i innego złośliwego oprogramowania, organizacje muszą podjąć środki zapobiegawcze, takie jak unikalnie pobierania naruszonych wtyczek, zwłaszcza wtyczki GootLoader.

Zapobieganie katastrofom w CMS i na stronach internetowych obejmuje również obserwowanie ostrzeżeń, takich jak plik JavaScript uruchamiany przez Wscript czy plik o nazwie „agreement.js” (dla użytkowników stron w języku angielskim). Poza tym organizacje muszą również dbać o aktualność swojego oprogramowania, stosować uwierzytelnianie dwuskładnikowe i wdrażać odpowiednie protokoły bezpieczeństwa.

Podsumowując, firmy prawnicze i przedsiębiorstwa muszą być czujne względem rosnącego zagrożenia ze strony ataków malware. Kampanie GootLoader i SocGholish pokazują potencjalne zagrożenia ze strony tych wyrafinowanych szczepów malware.