O nouă campanie de atacuri cibernetice utilizează reclamele Google pentru a distribui malware-ul Gootloader, vizând în special utilizatorii care caută şabloane de documente juridice. Atacatorii ascund software-ul maliţios în reclame care par a oferi contracte şi acorduri juridice, potrivit unui cercetător în securitate cibernetică cunoscut sub pseudonimul „Gootloader” pe platforma X, citat de DarkReading.
Această campanie este desfăşurată printr-un cont publicitar compromis, aparţinând companiei Med Media Group Ltd. din Marea Britanie, care a fost folosit pentru scopuri frauduloase. Atacatorii au achiziţionat un domeniu web şi au creat infrastructura necesară prin Cloudflare, plăsând anunţuri în motorul de căutare Google. Utilizatorii care caută documente precum „şablon acord de confidenţialitate” pot ajunge pe un site maliţios, lawliner[.]com, controlat de infractorii cibernetici.
Site-ul, aparent inofensiv, serveşte pentru distribuirea malware-ului Gootloader, care colectează informaţii confidenţiale. În trecut, atacatorii foloseau tehnici de optimizare a rezultatelor motoarelor de căutare (SEO poisoning), dar acum folosesc malvertising pentru a ajunge direct la utilizatori prin anunţuri plătite.
Atacurile asupra firmelor de avocatură nu sunt noi, având în vedere cantitatea de informaţii sensibile pe care le gestionează acestea. Datele obţinute pot fi folosite pentru extorcare, vânzare pe piaţa neagră sau atacuri cibernetice suplimentare.
În trecut, infractorii au exploatat peste 5 milioane de cuvinte-cheie din domeniul juridic pe bloguri compromise, dar acum şi-au creat propria infrastructură pentru distribuirea malware-ului. Utilizatorii care accesează lawliner[.]com sunt încurajaţi să descarce un document juridic după ce îşi introduc adresa de e-mail. Ulterior, aceştia primesc un e-mail cu un link ce duce la un fişier .docx, care, în realitate, conţine un fişier .zip. La dezarhivare, fişierul livrabil este un script JavaScript, care, odată executat, instalează Gootloader.
Acesta creează o sarcină programată în folderul AppData/Roaming al utilizatorului şi rulează un script PowerShell, colectând informaţii despre sistem, inclusiv procese active, fişiere de pe desktop, variabile de mediu şi spaţiu disponibil pe unităţi. Toate aceste date sunt trimise constant către 10 domenii, unele compromise, altele create de atacatori pentru a ascunde activitatea frauduloasă.
Gootloader este folosit atât pentru furtul de date, cât şi ca vector iniţial pentru infectări cu ransomware. Atacatorii pot executa comenzi suplimentare sau instala software maliţios ulterior prin GootBot.
Cercetătorii în securitate recomandă blocarea domeniilor implicate – lawliner[.]com şi skhm[.]org – şi verificarea istoricului de trafic web pentru a preveni atacuri viitoare.
