Sophos によると、Gootkit 金融マルウェアが復活し、気づかない標的にランサムウェアのペイロードを送りつけるようになったという。
情報セキュリティ企業は本日、「犯罪者がマルウェアの感染方法を、ランサムウェアを含むさまざまなマルウェアの複雑な配信プラットフォームに変えた」と述べた。
Gootkitは数年前から存在するエクスプロイトキットです。当初、Gootkitの運営者は、正規のウェブサイトに侵入し、そのトラフィックをマルウェアを含む悪意のあるウェブサイトにリダイレクトすることを目的としていました。
しかし現在、彼らは検索エンジン最適化 (SEO) という永遠にグレーな技術を使って、悪意のあるソフトウェアを被害者のデバイスに侵入させています。その悪意のあるソフトウェアには、REvil ランサムウェア クルーのペイロード、Cobalt Strike ツールのエクスプロイト後のアーティファクト、Kronos バンキング マルウェアなどが含まれます。
Clopランサムウェア集団が、盗まれたボンバルディアのGlobalEyeレーダースヌープジェットの設計図と思われるものをオンラインで漏洩
続きを読む
ソフォスの脅威調査ディレクター、ガボール・ザッパノス氏は、声明の中で次のように述べています。「Gootloaderの作成者は、技術に精通したITユーザーでさえ騙せるような、様々なソーシャルエンジニアリングのトリックを用いています。幸いなことに、インターネットユーザーが注意すべき警告サインがいくつかあります。」
「こうしたGoogle検索結果には、提供していると思われるアドバイスと論理的なつながりのない企業のウェブサイトへのリンクや、最初の質問で使用した検索語句と完全に一致するアドバイス、そして「掲示板」スタイルのページなどが含まれます」と彼は続けた。
これらの偽の Web サイトにはダウンロードまたはダウンロードへのリンクが含まれており、知らないユーザーがリンクをクリックするとマルウェアが活動を開始します。
Gootkit の運営者は、2018 年に Mailchimp が身をもって知ったように、電子メール スパムを使用してオリジナルの悪質なメールを配布していました。
マルウェア犯罪者がマルウェアを相互利用することは目新しいことではありませんが、ランサムウェアによる「容易な」金銭的利益が明らかになるにつれ、その傾向が強まっています。特に新型コロナウイルス感染症のパンデミックにより、世界中がオンラインに移行し、多くの人がリモートワークをするようになってからは顕著になっています。先週、ランサムウェア「Clop」を操る集団が、航空宇宙企業ボンバルディアから盗んだ文書の一部を公開しました。専門家によると、Clopのグループは、実際に窃盗を行った別の犯罪者の再販業者として活動していたとのことです。
Gootkit 集団の回避策については、Sophos のアドバイスはシンプルです。「Firefox の NoScript のようなスクリプトブロッカーは、ハッキングされた Web ページの置き換えを最初から防ぐことで、Web サーファーの安全を確保するのに役立ちます。」®
