"Gootkit" diventa "Gootloader": i trojan bancari si trasformano in complesse piattaforme malware con molteplici vettori di attacco.
La famiglia di malware Gootkit è un noto scagnozzo, un trojan che inizialmente si concentrava sul furto di dati di transazioni bancarie e oggi utilizza lo strumento di analisi Cobalt-Strike, il malware bancario Kronos e il ransomware REvil, tra gli altri. Gli esperti di sicurezza informatica si sono già occupati intensamente del malware e in particolare dei suoi intelligenti meccanismi di trasmissione nel 2020. La novità è che gli aggressori hanno esteso il malware a una piattaforma multi-payload. Con meccanismi di attacco variabili, inclusa l'ingegneria sociale, è attualmente più attivo in Germania, Stati Uniti e Corea del Sud. A causa della sua attualità e del carattere della piattaforma, gli esperti di sicurezza dei SophosLabs hanno dato al malware multi-payload il proprio nome: Gootloader.
I Gootloader prendono di mira prima i siti web
Gli aggressori di Gootloader penetrano in siti Web legittimi, li modificano in modo sottile e manipolano anche il SEO per mostrare i siti Web falsi agli utenti come risultati migliori nelle loro query sui motori di ricerca, come Ricerca Google. Oltre ai siti Web contraffatti localizzati, l'attenzione mirata su determinati paesi arriva persino al punto che gli utenti di "paesi non target" che finiscono su un sito Web di questo tipo vedono solo contenuti contraffatti casuali e non accade nient'altro.
“I creatori di Gootloader utilizzano una serie di trucchi di ingegneria sociale che possono ingannare anche gli utenti IT esperti di tecnologia. Tuttavia, ci sono segnali di allarme a cui prestare attenzione", ha affermato Gabor Szappanos, direttore della ricerca sulle minacce di Sophos. “Ciò include i risultati di ricerca di Google che puntano a siti Web che non hanno alcun collegamento logico con il consiglio che sembra essere offerto. Notevoli anche i suggerimenti che corrispondono esattamente ai termini di ricerca utilizzati nella domanda iniziale e nelle pagine in stile forum.
Protezione attiva dai sistemi di carico utile
Se vuoi proteggerti attivamente anche da sistemi di payload come Gootloader, puoi disattivare la funzione "Nascondi estensioni per tipi di file conosciuti" nelle opzioni della cartella di Windows Explorer. Ciò consente agli utenti di vedere che il pacchetto ZIP fornito dagli aggressori contiene un file con estensione .js. I file Javascript vengono utilizzati più e più volte per tentativi di hacking e l'esecuzione di un tale file scaricato dovrebbe sempre far scattare un campanello d'allarme. Inoltre, i blocchi di script come NoScript per Firefox possono fornire sicurezza contro tali attacchi perché bloccano il contenuto falso di un sito Web violato.
Ulteriori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.