"Gootkit" torna-se "Gootloader": Trojans bancários se transformam em plataformas complexas de malware com vários vetores de ataque.
A família de malware Gootkit é um conhecido capanga - um Trojan que inicialmente se concentrava em roubar dados de transações bancárias e hoje usa a ferramenta de análise Cobalt-Strike, o malware bancário Kronos e o ransomware REvil, entre outros. Os especialistas em segurança de TI já lidaram intensamente com o malware e, em particular, com seus mecanismos de transmissão inteligentes em 2020. A novidade é que os invasores expandiram o malware em uma plataforma de carga múltipla. Com mecanismos de ataque variáveis - incluindo engenharia social - atualmente é mais ativo na Alemanha, EUA e Coréia do Sul. Devido à sua atualidade e caráter de plataforma, os especialistas em segurança da SophosLabs deram ao malware de carga múltipla seu próprio nome: Gootloader.
Gootloaders segmentam sites primeiro
Os invasores do Gootloader invadem sites legítimos, modificam-nos sutilmente e também manipulam o SEO para mostrar os sites falsos aos usuários como os principais resultados em suas consultas de mecanismos de pesquisa, como a Pesquisa do Google. Além dos sites falsos localizados, o foco direcionado a determinados países vai tão longe que os usuários de “países não-alvo” que acabam em tal site veem apenas conteúdo falso aleatório e nada mais acontece.
“Os criadores do Gootloader usam vários truques de engenharia social que podem enganar até mesmo usuários de TI com experiência em tecnologia. No entanto, há sinais de alerta a serem observados”, disse Gabor Szappanos, diretor de pesquisa de ameaças da Sophos. “Isso inclui os resultados de pesquisa do Google apontando para sites que não têm nenhuma conexão lógica com o conselho que parece ser oferecido. Também são perceptíveis as dicas que correspondem exatamente aos termos de pesquisa usados na pergunta inicial e nas páginas de estilo de fórum.”
Proteja ativamente contra sistemas de carga útil
Se você também deseja se proteger ativamente contra sistemas de carga útil, como o Gootloader, pode desativar a função 'Ocultar as extensões dos tipos de arquivo conhecidos' nas opções de pasta do Windows Explorer. Isso permite que os usuários vejam que o pacote ZIP fornecido pelos invasores contém um arquivo com extensão .js. Os arquivos Javascript são usados repetidas vezes para tentativas de hacking e a execução de um arquivo baixado sempre deve soar o alarme. Além disso, bloqueadores de script como o NoScript para Firefox podem fornecer segurança contra esses ataques porque bloqueiam o conteúdo falso de um site invadido.”
Saiba mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.