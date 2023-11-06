IBM X-Force descubrió una nueva variante de Gootloader, el implante "GootBot", que facilita el movimiento lateral sigiloso y dificulta la detección y el bloqueo de las campañas de Gootloader dentro de los entornos empresariales. X-Force observó que estas campañas aprovechaban el envenenamiento de SEO, apostando por la actividad de búsqueda de víctimas desprevenidas, que analizamos más a fondo en el blog. La introducción del grupo Gootloader de su propio bot personalizado en las últimas etapas de su cadena de ataque es un intento de evitar las detecciones cuando se utilizan herramientas listas para usar para C2, como CobaltStrike o RDP. Esta nueva variante es un malware ligero, pero eficaz que permite a los atacantes propagarse rápidamente por toda la red y desplegar más cargas útiles.

Anteriormente, Gootloader solo se observaba como un malware de acceso inicial, después de lo cual los atacantes cargaban herramientas como CobaltStrike o usaban RDP para propagarse dentro de la red. Las campañas que aprovechan GootBot para el movimiento lateral constituyen un cambio significativo en los TTP posteriores a la infección, ya que esta herramienta personalizada permite a los actores de amenazas permanecer bajo el radar durante un período más largo. GootBot se descarga como carga útil después de una infección de Gootloader y tiene la capacidad de recibir tareas C2 en forma de scripts cifrados de PowerShell, que se ejecutan como trabajos. A diferencia de Gootloader, GootBot es un script PS ligero ofuscado, que contiene un solo servidor C2. Los implantes de GootBot, cada uno de los cuales contiene un servidor C2 diferente que se ejecuta en un sitio de WordPress hackeado, se propagan a través de dominios empresariales infectados en grandes cantidades con la esperanza de llegar a un controlador de dominio. En el momento de escribir este artículo, GootBot no tiene detecciones en VirusTotal. Este cambio en los TTP y las herramientas aumenta el riesgo de que las etapas posteriores a la explotación sean exitosas, como la actividad de afiliados de ransomware vinculada a Gootloader.