Seis bufetes de abogados diferentes fueron atacados en enero y febrero de 2023 como parte de dos campañas de amenazas dispares que distribuyeron las cepas de malware GootLoader y FakeUpdates (también conocido como SocGholish).
GootLoader , activo desde finales de 2020, es un descargador de primera etapa que puede ofrecer una amplia gama de cargas útiles secundarias, como Cobalt Strike y ransomware.
En particular, emplea el envenenamiento por optimización de motores de búsqueda (SEO) para canalizar a las víctimas que buscan documentos relacionados con el negocio hacia sitios de descargas ocultas que eliminan el malware JavaScript.
En la campaña detallada por la empresa de seguridad cibernética eSentire, se dice que los actores de amenazas comprometieron sitios web de WordPress legítimos, pero vulnerables, y agregaron nuevas publicaciones de blog sin el conocimiento de los propietarios.
«Cuando el usuario de la computadora navega a una de estas páginas web maliciosas y presiona el enlace para descargar el supuesto acuerdo comercial, sin saberlo, está descargando GootLoader», dijo el investigador de eSentire Keegan Keplinger en enero de 2022.
La divulgación de eSentire es la última de una ola de ataques que han utilizado el cargador de malware Gootkit para violar objetivos.
GootLoader está lejos de ser el único malware de JavaScript dirigido a profesionales de negocios y empleados de bufetes de abogados. Un conjunto separado de ataques también implicó el uso de SocGholish , que es un descargador capaz de colocar más ejecutables.
La cadena de infección es aún más significativa por aprovechar un sitio web frecuentado por firmas legales como abrevadero para distribuir el malware.
Otro aspecto destacado de los conjuntos de intrusión gemelos en ausencia de implementación de ransomware, en lugar de favorecer la actividad práctica, sugiere que los ataques podrían haberse diversificado en alcance para incluir operaciones de espionaje.
«Antes de 2021, el correo electrónico era el principal vector de infección utilizado por los actores de amenazas oportunistas», dijo Keplinger. Desde 2021 hasta 2023, los ataques basados en navegador […] han crecido constantemente para competir con el correo electrónico como principal vector de infección».
«Esto ha sido en gran parte gracias a GootLoader, SocGholish, SolarMarker y las campañas recientes que aprovechan los anuncios de Google para mostrar los mejores resultados de búsqueda».
Fuente y redacción: thehackernews.com
