Gli esperti di Trend Micro hanno individuato nuovi attacchi effettuati con il loader Gootkit contro aziende che operano nel settore sanitario. I cybercriminali sfruttano la tecnica SEO poisoning per l’accesso iniziale e il noto VLC Media Player per distribuire Cobalt Strike e installare altri malware.
Gootkit: SEO poisoning e DLL side-loading
Il primo step degli attacchi prevede l’uso della tecnica denominata SEO poisoning. Quando l’ignara vittima utilizza determinate keyword relative a informazioni mediche, abbinate a nomi di città australiane, Google mostra anche i siti creati dai cybercriminali che sembrano legittimi. In pratica viene “avvelenato” il ranking per portare i risultati in primo piano.
I siti sono forum che contengono le presunte risposte alle domande degli utenti all’interno di un archivio ZIP da scaricare sul computer. In realtà c’è un file JavaScript (Gootkit) che, quando eseguito, crea un’attività pianificata. Viene quindi scaricato uno script PowerShell che recupera altri file dal server remoto, tra cui msdtc.exe
e libvlc.dll
.
L’eseguibile è una versione legittima e firmata di VLC Media Player, mentre la DLL è una libreria fasulla del lettore multimediale. L’avvio di VLC causa il caricamento in memoria della DLL, sfruttando la tecnica denominata DLL side-loading. A questo punto vengono eseguiti due processi (dllhost.exe
e wabmig.exe
) usati per distribuire Cobalt Strike.
Sfruttando il noto tool, i cybercriminali possono caricare script per l’accesso alla rete interna e rubare le credenziali. I ricercatori non hanno scoperto il payload finale, ma Cobalt Strike viene utilizzato spesso per attacchi ransomware.