Ekspertët e Trend Micro kanë identifikuar sulme të reja të kryera me ngarkuesin Gootkit kundër kompanive që operojnë në sektorin e kujdesit shëndetësor. Kriminelët kibernetikë përdorin teknikën e helmimit të SEO për hyrjen fillestare dhe VLC Media Player popullor për të shpërndarë Cobalt Strike dhe instaluar malware të tjerë.
Gootkit: helmimi i SEO dhe ngarkimi anësor DLL-të
Hapi i parë i sulmeve përfshin përdorimin e teknikës së quajtur helmimi me SEO. Kur viktima që nuk dyshon përdor disa fjalë kyçe që lidhen me informacionin mjekësor, të kombinuara me emrat e qyteteve australianë, Google tregon gjithashtu faqet e krijuara nga kriminelët kibernetikë që duken të ligjshme. Në praktikë, renditja “helmohet” për të nxjerrë në pah rezultatet.
Sajtet janë forume që përmbajnë përgjigje të supozuara për pyetjet e përdoruesve në një arkiv ZIP që e shkarkoni në kompjuterin tuaj. Në fakt ekziston një skedar JavaScript (Gootkit) i cili, kur ekzekutohet, krijon një detyrë të planifikuar. Më pas shkarkohet një skrip PowerShell i cili merr skedarë të tjerë nga serveri në distancë, duke përfshirë msdtc.exe dhe libvlc.dll.
E ekzekutueshme është një version legjitim dhe i nënshkruar i VLC Media Player, ndërsa DLL është një bibliotekë fals e media player-it. Fillimi i VLC bën që DLL të ngarkohet në memorie, duke përdorur teknikën e quajtur DLL side-loading. Në këtë pikë, dy procese (dllhost.exe dhe wabmig.exe) të përdorura për të vendosur Cobalt Strike janë duke ekzekutuar.
Duke përdorur mjetin e mirënjohur, kriminelët kibernetikë mund të ngarkojnë skriptet për të hyrë në rrjetin e brendshëm dhe për të vjedhur kredencialet. Studiuesit nuk e kanë zbuluar ngarkesën përfundimtare, por Cobalt Strike përdoret shpesh për sulme ransomware.
Discussion about this post