"Gootkit" se convierte en "Gootloader": los troyanos bancarios mutan en plataformas de malware complejas con múltiples vectores de ataque.
La familia de malware Gootkit es un conocido secuaz, un troyano que inicialmente se centró en robar datos de transacciones bancarias y hoy utiliza la herramienta de análisis Cobalt-Strike, el malware bancario Kronos y el ransomware REvil, entre otros. Los expertos en seguridad de TI ya se han ocupado intensamente del malware y, en particular, de sus inteligentes mecanismos de transmisión en 2020. Lo nuevo es que los atacantes han expandido el malware a una plataforma de carga útil múltiple. Con mecanismos de ataque variables, incluida la ingeniería social, actualmente es más activo en Alemania, EE. UU. y Corea del Sur. Debido a su actualidad y carácter de plataforma, los expertos en seguridad de SophosLabs le han dado al malware de carga útil múltiple su propio nombre: Gootloader.
Los Gootloaders apuntan primero a los sitios web
Los atacantes de Gootloader piratean sitios web legítimos, los modifican sutilmente y también manipulan el SEO para mostrar los sitios web falsos a los usuarios como los mejores resultados en sus consultas de motores de búsqueda, como la Búsqueda de Google. Además de los sitios web falsos localizados, el enfoque específico en ciertos países incluso llega tan lejos que los usuarios de "países no objetivo" que terminan en dicho sitio web solo ven contenido falso aleatorio y no sucede nada más.
“Los creadores de Gootloader utilizan una serie de trucos de ingeniería social que pueden engañar incluso a los usuarios de TI expertos en tecnología. Sin embargo, hay señales de advertencia que hay que tener en cuenta”, dijo Gabor Szappanos, director de investigación de amenazas de Sophos. “Esto incluye los resultados de búsqueda de Google que apuntan a sitios web que no tienen una conexión lógica con el consejo que parece ofrecerse. También son notables los consejos que coinciden exactamente con los términos de búsqueda utilizados en la pregunta inicial y en las páginas de estilo de foro”.
Proteja activamente contra los sistemas de carga útil
Si también desea protegerse activamente contra sistemas de carga útil como Gootloader, puede desactivar la función 'Ocultar extensiones para tipos de archivos conocidos' en las opciones de carpeta del Explorador de Windows. Esto permite a los usuarios ver que el paquete ZIP proporcionado por los atacantes contiene un archivo con extensión .js. Los archivos Javascript se usan una y otra vez para intentos de piratería y ejecutar un archivo descargado de este tipo siempre debería hacer sonar las alarmas. Además, los bloqueadores de secuencias de comandos como NoScript para Firefox pueden brindar seguridad contra tales ataques porque bloquean el contenido falso de un sitio web pirateado”.
Más información en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.