«Gootkit» стає «Gootloader»: банківські трояни перетворюються на складні шкідливі платформи з кількома векторами атак.
Сімейство зловмисних програм Gootkit — це добре відомий підручний — троян, який спочатку зосереджувався на крадіжці даних банківських транзакцій, а сьогодні використовує інструмент аналізу Cobalt-Strike, банківську шкідливу програму Kronos і програму-вимагач REvil тощо. Експерти з ІТ-безпеки вже інтенсивно займалися шкідливим програмним забезпеченням і, зокрема, його розумними механізмами передачі в 2020 році. Новим є те, що зловмисники розширили шкідливе програмне забезпечення до платформи з кількома корисними навантаженнями. Зі змінними механізмами атак, включаючи соціальну інженерію, наразі він найбільш активний у Німеччині, США та Південній Кореї. Через його актуальність і характер платформи експерти з безпеки SophosLabs дали багатокорисному шкідливому ПЗ власну назву: Gootloader.
Завантажувачі націлюються спочатку на веб-сайти
Зловмисники Gootloader зламують законні веб-сайти, тонко їх модифікують, а також маніпулюють пошуковою системою, щоб показувати підроблені веб-сайти користувачам як найпопулярніші результати в їхніх пошукових запитах, таких як Google Search. На додаток до локалізованих підроблених веб-сайтів, цільовий фокус на певних країнах навіть заходить настільки далеко, що користувачі з «нецільових країн», які потрапляють на такий веб-сайт, бачать лише випадковий підроблений вміст, і більше нічого не відбувається.
«Творці Gootloader використовують ряд трюків соціальної інженерії, які можуть ввести в оману навіть технічно підкованих ІТ-користувачів. Однак є попереджувальні ознаки, на які варто звернути увагу», — сказав Габор Саппанос, директор із дослідження загроз Sophos. «Це включає результати пошуку Google, які вказують на веб-сайти, які не мають логічного зв’язку з порадами, які, здається, пропонуються. Також помітні підказки, які точно відповідають пошуковим термінам, використаним у початковому запитанні та на сторінках у стилі форуму».
Активний захист від систем корисного навантаження
Якщо ви також хочете активно захистити себе від систем корисного навантаження, таких як Gootloader, ви можете вимкнути функцію «Приховати розширення для відомих типів файлів» у параметрах папки Windows Explorer. Це дозволяє користувачам побачити, що пакет ZIP, наданий зловмисниками, містить файл із розширенням .js. Файли Javascript знову і знову використовуються для спроб злому, і запуск такого завантаженого файлу завжди повинен викликати тривогу. Крім того, блокувальники скриптів, такі як NoScript для Firefox, можуть забезпечити захист від таких атак, оскільки вони блокують підроблений вміст зламаного веб-сайту».
Дізнайтесь більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.