Ciertos grupos de ciberdelincuentes como las pandillas de ransomware, los operadores de botnets y los estafadores de fraude financiero reciben atención específica por sus ataques y operaciones. Pero el ecosistema más grande que subyace al crimen digital incluye una variedad de actores y organizaciones maliciosas que esencialmente venden servicios de soporte a estos clientes criminales. Hoy, los investigadores de la empresa de seguridad eSentire están revelando sus métodos para interrumpir las operaciones de una empresa criminal de larga data que compromete a empresas y otras organizaciones y luego vende ese acceso digital a otros atacantes.
Conocido como una operación de acceso inicial como servicio, el malware Gootloader y los delincuentes detrás de él han estado comprometiendo y estafando durante años. La pandilla Gootloader infecta a las organizaciones víctimas y luego vende el acceso para entregar el malware preferido de un cliente en la red de destino comprometida, ya sea ransomware, mecanismos para la exfiltración de datos u otras herramientas para comprometer el objetivo más profundamente. A partir del seguimiento de los datos de la página de Gootloader, por ejemplo, los investigadores de eSentire recopilaron evidencia de que la notoria pandilla de ransomware con sede en Rusia, REvil, trabajó regularmente con Gootloader entre 2019 y 2022 para obtener acceso inicial a las víctimas, una relación que otros investigadores también han notado.
Joe Stewart, investigador principal de seguridad de eSentire, y Keegan Keplinger, investigador principal de amenazas, diseñaron un rastreador web para realizar un seguimiento de las páginas web activas de Gootloader y los sitios anteriormente infectados. Actualmente, los dos ven alrededor de 178 000 páginas web activas de Gootloader y más de 100 000 páginas que históricamente parecen haber sido infectadas con Gootloader. En un aviso retrospectivo del año pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos advirtió que Gootloader era una de las principales cepas de malware de 2021 junto con otras 10.
Al rastrear la actividad y las operaciones de Gootloader a lo largo del tiempo, Stewart y Keplinger identificaron las características de cómo Gootloader cubre sus huellas e intenta evadir la detección que los defensores pueden aprovechar para proteger las redes de infecciones.
“Al profundizar en cómo funciona el sistema Gootloader y el malware, puede encontrar todas estas pequeñas oportunidades para impactar sus operaciones”, dice Stewart. “Cuando llama mi atención, me obsesiono con las cosas, y eso es lo que no quiere como autor de malware, es que los investigadores se sumerjan por completo en sus operaciones”.
Fuera de la vista, fuera de la mente
Gootloader evolucionó a partir de un troyano bancario conocido como Gootkit que ha estado infectando objetivos principalmente en Europa desde 2010. Gootkit generalmente se distribuía a través de correos electrónicos de phishing o sitios web corruptos y estaba diseñado para robar información financiera como datos de tarjetas de crédito e inicios de sesión de cuentas bancarias. Sin embargo, como resultado de la actividad que comenzó en 2020, los investigadores han estado rastreando Gootloader por separado porque el mecanismo de entrega de malware se ha utilizado cada vez más para distribuir una variedad de software criminal, incluidos spyware y ransomware.
El operador Gootloader es conocido por distribuir enlaces a documentos comprometidos, particularmente plantillas y otras formas genéricas. Cuando los objetivos hacen clic en los enlaces para descargar estos documentos, se infectan sin querer con el malware Gootloader. Para lograr que los objetivos inicien la descarga, los atacantes usan una táctica conocida como envenenamiento de optimización de motores de búsqueda para comprometer blogs legítimos, particularmente blogs de WordPress, y luego les agregan discretamente contenido que incluye enlaces a documentos maliciosos.
Gootloader está diseñado para filtrar las conexiones a publicaciones de blog contaminadas para una serie de características. Por ejemplo, si alguien inició sesión en un blog de WordPress comprometido, ya sea que tenga privilegios de administrador o no, no podrá ver las publicaciones del blog que contienen los enlaces maliciosos. Y Gootloader llega incluso a bloquear permanentemente las direcciones IP que son numéricamente cercanas a la dirección registrada en una cuenta de WordPress relevante. La idea es evitar que otras personas de la misma organización vean las publicaciones maliciosas.