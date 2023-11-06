IBM® X-Force descubrió una nueva variante de Gootloader, el implante "GootBot", que facilita el movimiento lateral sigiloso y dificulta la detección y el bloqueo de las campañas de Gootloader en entornos empresariales. X-Force descubrió que estas campañas aprovechaban el envenenamiento del SEO, apostando por la actividad de búsqueda de víctimas desprevenidas, que analizamos más a fondo en el blog. La introducción por parte del grupo Gootloader de su propio bot personalizado en las últimas etapas de su cadena de ataque es un intento de evitar las detecciones al utilizar herramientas estándar para C2 como CobaltStrike o RDP. Esta nueva variante es un malware ligero pero eficaz que permite a los atacantes expandirse rápidamente por la red e implementar más cargas útiles.

Antes, Gootloader solo se observaba como un malware de acceso inicial, después del cual los atacantes cargaban herramientas como CobaltStrike o usaban RDP para propagarse dentro de la red. Las campañas que aprovechan GootBot para el movimiento lateral constituyen un cambio significativo en los TTP posteriores a la infección, ya que esta herramienta personalizada permite a los actores de amenazas permanecer bajo el radar durante un período más largo. GootBot se descarga como carga útil tras una infección de Gootloader y tiene la capacidad de recibir tareas C2 en forma de scripts cifrados de PowerShell, que se ejecutan como trabajos. A diferencia de Gootloader, GootBot es un script PS ligero y ofuscado, que contiene un único servidor C2. Los implantes de GootBot, cada uno de los cuales contiene un servidor C2 diferente que se ejecuta en un sitio de WordPress hackeado, se propagan en grandes cantidades por los dominios empresariales infectados con la esperanza de llegar a un controlador de dominio. En el momento de escribir esto, GootBot no tiene detecciones enumeradas en VirusTotal. Este cambio en las TTP y las herramientas aumenta el riesgo de éxito en las etapas posteriores a la explotación, como la actividad de afiliados de ransomware vinculada a Gootloader.