В начале 2023 года шесть различных юридических фирм стали мишенью для атак в рамках двух разрозненных вредоносных кампаний. В своих атак злоумышленники использовали программы GootLoader и FakeUpdates (также известную как SocGholish).
GootLoader, активный с конца 2020 года, представляет собой загрузчик первого этапа, способный доставлять широкий спектр вторичных полезных нагрузок, таких как Cobalt Strike и различные программы-вымогатели. Для своей работы он использует метод SEO poisoning (отравление поисковой выдачи) — добавление на скомпрометированные сайты слов, способствующих подъему этих сайтов в поисковой выдаче Google. Благодаря этому вредоносные сайты могут увидеть больше потенциальных жертв.
» data-html=»true» data-original-title=»SEO poisoning»>«SEO poisoning», чтобы направить жертв, ищущих документы, связанные с бизнесом, на фишинговые сайты с вредоносным ПО на основе JavaScript — это язык программирования, с помощью которого web-страницам придается интерактивность. С его помощью создаются приложения, которые включаются в HTML-код. Вся уникальность данного языка программирования заключается в том, что он поддерживается практически всеми браузерами и полностью интегрируется с ними.
» data-html=»true» data-original-title=»JavaScript»>JavaScript.
Во вредоносной кампании, подробно описанной eSentire, говорится, что злоумышленники взламывали законные, но уязвимые веб-сайты на основе WordPress и добавляли в форумы новые сообщения, тематически интересующие потенциальных жертв. Разумеется, эти сообщения содержали вредоносные ссылки.
«Когда пользователь переходит на одну из вредоносных веб-страниц и нажимает на ссылку для загрузки предполагаемого делового соглашения, он неосознанно загружает GootLoader», — заявил Киган Кеплингер, исследователь eSentire.
На изображении ниже видно, как злоумышленник на одном из зарубежных форумов оставил 3 сообщения с разных учётных записей: просьбу порекомендовать финансовый инструмент для расчёта зарплаты, ответ с вредоносной ссылкой и благодарность с подтверждением работоспособности инструмента. Когда диалог такого рода видит человек, заинтересованный в таком же финансовом инструменте, он отключает бдительность и добровольно загружает вредоносный файл на свой компьютер.
Однако GootLoader — далеко не единственная вредоносная программа на JavaScript, нацеленная на бизнес-сегмент и сотрудников юридических фирм. Отдельные вредоносные кампании используют другой вредонос — FakeUpdates (SocGholish). Он позволяет «сбрасывать» в целевой системе больше исполняемых файлов, а для его распространения часто используется метод Watering Hole — тип атаки, при которой злоумышленники ищут целевые веб-сайты, которые часто посещают желаемые жертвы и заражают такие сайты вредоносным кодом.
Когда сотрудники посещают такой сайт, они непреднамеренно загружают и устанавливают вредоносное ПО на свои компьютеры, позволяя злоумышленникам получить доступ к системе или конфиденциальной информации.
Этот метод может быть очень эффективным, поскольку жертвы больше доверяют таким сайтам и не ожидают заражения вредоносным кодом.