« Gootkit » devient « Gootloader » : les chevaux de Troie bancaires se transforment en plates-formes malveillantes complexes avec de multiples vecteurs d'attaque.
La famille de malwares Gootkit est un homme de main bien connu - un cheval de Troie qui se concentrait initialement sur le vol de données de transactions bancaires et utilise aujourd'hui l'outil d'analyse Cobalt-Strike, le malware bancaire Kronos et le ransomware REvil, entre autres. Les experts en sécurité informatique ont déjà traité intensivement le malware et en particulier ses mécanismes de transmission intelligents en 2020. Ce qui est nouveau, c'est que les attaquants ont étendu le logiciel malveillant à une plate-forme multi-charge utile. Avec des mécanismes d'attaque variables - y compris l'ingénierie sociale - il est actuellement le plus actif en Allemagne, aux États-Unis et en Corée du Sud. En raison de son actualité et de son caractère de plate-forme, les experts en sécurité des SophosLabs ont donné son propre nom au malware multi-payload : Gootloader.
Les Gootloaders ciblent d'abord les sites Web
Les attaquants de Gootloader piratent des sites Web légitimes, les modifient subtilement et manipulent également le référencement pour montrer les faux sites Web aux utilisateurs comme les meilleurs résultats dans leurs requêtes de moteur de recherche, telles que Google Search. En plus des faux sites Web localisés, l'accent mis sur certains pays va même si loin que les utilisateurs de «pays non ciblés» qui se retrouvent sur un tel site Web ne voient que du faux contenu aléatoire et rien d'autre ne se passe.
"Les créateurs de Gootloader utilisent un certain nombre d'astuces d'ingénierie sociale qui peuvent tromper même les utilisateurs informatiques férus de technologie. Cependant, il y a des signes avant-coureurs à surveiller », a déclaré Gabor Szappanos, directeur de la recherche sur les menaces chez Sophos. "Cela inclut les résultats de recherche Google pointant vers des sites Web qui n'ont aucun lien logique avec les conseils qui semblent être offerts. On remarque également des conseils qui correspondent exactement aux termes de recherche utilisés dans la question initiale et les pages de style forum.
Protégez-vous activement contre les systèmes de charge utile
Si vous souhaitez également vous protéger activement contre les systèmes de charge utile tels que Gootloader, vous pouvez désactiver la fonction "Masquer les extensions pour les types de fichiers connus" dans les options de dossier de l'Explorateur Windows. Cela permet aux utilisateurs de voir que le package ZIP fourni par les attaquants contient un fichier avec une extension .js. Les fichiers Javascript sont utilisés encore et encore pour les tentatives de piratage et l'exécution d'un tel fichier téléchargé devrait toujours sonner l'alarme. De plus, les bloqueurs de scripts tels que NoScript pour Firefox peuvent fournir une sécurité contre de telles attaques car ils bloquent le faux contenu d'un site Web piraté.
En savoir plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.