Certains groupes cybercriminels comme les gangs de rançongiciels, les opérateurs de botnet et les fraudeurs financiers reçoivent une attention particulière pour leurs attaques et leurs opérations. Mais l’écosystème plus large qui sous-tend la criminalité numérique comprend un éventail d’acteurs et d’organisations malveillantes qui vendent essentiellement des services d’assistance à ces clients criminels. Aujourd’hui, des chercheurs de la société de sécurité eSentire révèlent leurs méthodes pour perturber les opérations d’une entreprise criminelle de longue date qui compromet des entreprises et d’autres organisations, puis vend cet accès numérique à d’autres attaquants.
Connu sous le nom d’opération d’accès initial en tant que service, le malware Gootloader et les criminels derrière lui compromettent et arnaquent depuis des années. Le gang Gootloader infecte les organisations victimes, puis vend l’accès pour diffuser le logiciel malveillant préféré d’un client dans le réseau cible compromis, qu’il s’agisse d’un logiciel de rançon, de mécanismes d’exfiltration de données ou d’autres outils pour compromettre plus profondément la cible. À partir du suivi des données de la page Gootloader, par exemple, les chercheurs d’eSentire ont recueilli des preuves que le célèbre gang de ransomware basé en Russie REvil a régulièrement travaillé avec Gootloader entre 2019 et 2022 pour obtenir un accès initial aux victimes, une relation que d’autres chercheurs ont également remarquée.
Joe Stewart, chercheur principal en sécurité chez eSentire, et Keegan Keplinger, chercheur principal sur les menaces, ont conçu un robot d’exploration Web pour suivre les pages Web Gootloader en direct et les sites anciennement infectés. Actuellement, les deux voient environ 178 000 pages Web Gootloader en direct et plus de 100 000 pages qui semblent historiquement avoir été infectées par Gootloader. Dans un avis rétrospectif l’année dernière, la United States Cybersecurity and Infrastructure Security Agency a averti que Gootloader était l’une des principales souches de logiciels malveillants de 2021 aux côtés de 10 autres.
En suivant l’activité et les opérations de Gootloader au fil du temps, Stewart et Keplinger ont identifié les caractéristiques de la façon dont Gootloader couvre ses traces et tente d’échapper à la détection que les défenseurs peuvent exploiter pour protéger les réseaux contre les infections.
“En approfondissant le fonctionnement du système Gootloader et des logiciels malveillants, vous pouvez trouver toutes ces petites opportunités d’avoir un impact sur leurs opérations”, déclare Stewart. “Lorsque vous attirez mon attention, je deviens obsédé par les choses, et c’est ce que vous ne voulez pas en tant qu’auteur de logiciels malveillants, c’est que les chercheurs se plongent complètement dans vos opérations.”
Hors de vue, hors de l’esprit
Gootloader a évolué à partir d’un cheval de Troie bancaire connu sous le nom de Gootkit qui infecte des cibles principalement en Europe depuis 2010. Gootkit était généralement distribué via des e-mails de phishing ou des sites Web contaminés et était conçu pour voler des informations financières telles que les données de carte de crédit et les identifiants de compte bancaire. Cependant, à la suite d’une activité qui a débuté en 2020, les chercheurs ont suivi Gootloader séparément, car le mécanisme de diffusion de logiciels malveillants a de plus en plus été utilisé pour distribuer une gamme de logiciels criminels, y compris des logiciels espions et des rançongiciels.
L’opérateur Gootloader est connu pour diffuser des liens vers des documents compromis, notamment des templates et autres formulaires génériques. Lorsque les cibles cliquent sur les liens pour télécharger ces documents, elles s’infectent involontairement avec le logiciel malveillant Gootloader. Pour que les cibles lancent le téléchargement, les attaquants utilisent une tactique connue sous le nom d’empoisonnement de l’optimisation des moteurs de recherche pour compromettre les blogs légitimes, en particulier les blogs WordPress, puis leur ajouter discrètement du contenu comprenant des liens vers des documents malveillants.
Gootloader est conçu pour filtrer les connexions aux articles de blog contaminés pour un certain nombre de caractéristiques. Par exemple, si quelqu’un est connecté à un blog WordPress compromis, qu’il ait ou non des privilèges d’administrateur, il ne pourra pas voir les articles de blog contenant les liens malveillants. Et Gootloader va jusqu’à bloquer également de manière permanente les adresses IP qui sont numériquement proches de l’adresse connectée à un compte WordPress pertinent. L’idée est d’empêcher d’autres personnes de la même organisation de voir les messages malveillants.