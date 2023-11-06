O IBM X-Force descobriu uma nova variante do Gootloader, o implante “GootBot”, que facilita a movimentação lateral furtiva e torna a detecção e o bloqueio de campanhas do Gootloader mais difíceis em ambientes corporativos. O X-Force observou essas campanhas aproveitando o envenenamento de SEO, apostando na atividade de pesquisa das vítimas desavisadas, que analisamos mais detalhadamente no blog. A introdução de seu próprio bot personalizado pelo grupo Gootloader nos estágios finais de sua cadeia de ataque é uma tentativa de evitar detecções ao usar ferramentas prontas para C2, como CobaltStrike ou RDP. Essa nova variante é um malware leve, mas eficaz, que permite que os invasores se espalhem rapidamente por toda a rede e implementem cargas úteis adicionais.

Anteriormente, o Gootloader só era observado como um malware de acesso inicial, após o qual os invasores carregavam ferramentas como o CobaltStrike ou usavam o RDP para se espalharem na rede. As campanhas que utilizam o GootBot para movimento lateral constituem uma mudança significativa nos TTPs pós-infecção, pois essa ferramenta personalizada permite que os agentes de ameaça permaneçam fora do radar por um período mais longo. O GootBot é baixado como uma carga útil após uma infecção por Gootloader e tem os recursos para receber tarefas C2 na forma de scripts PowerShell criptografados, que são executados como tarefas. Ao contrário do Gootloader, o GootBot é um script PS leve e ofuscado, contendo apenas um único servidor C2. Os implantes do GootBot, cada um contendo um servidor C2 diferente sendo executado em um site WordPress hackeado, espalharam-se por domínios corporativos infectados em grande número na esperança de alcançar um controlador de domínio. No momento em que este artigo foi escrito, o GootBot não havia listado nenhuma detecção no VirusTotal. Essa mudança nos TTPs e nas ferramentas aumenta o risco de etapas pós-invasão bem-sucedidas, como a atividade afiliada de ransomware vinculada ao Gootloader.