Now Reading
Australischer Gesundheitssektor im Visier welcher neuesten Gootkit-Schadsoftware-Angriffe

Australischer Gesundheitssektor im Visier welcher neuesten Gootkit-Schadsoftware-Angriffe

Gootkit Malware Attacks

11. Januar 2023Ravie LakshmananGesundheitswesen / Cyberbedrohung

Eine Woge von Gootkit-Schadsoftware-Loader-Angriffen hat den australischen Gesundheitssektor ins Visier genommen, während legitime Tools wie welcher VLC Media Player genutzt wurden.

Gootkit, wenn schon Gootloader genannt, ist zu diesem Zweck prestigevoll, Suchmaschinenoptimierung (SEO)-Vergiftungstaktiken (wenn schon prestigevoll wie Spamdexing) zu Händen den anfänglichen Zugriff einzusetzen. Es funktioniert in welcher Regel, während es die legitime Unterbau kompromittiert und missbraucht und jene Websites mit gemeinsamen Schlüsselwörtern verseucht.

Wie andere Schadsoftware dieser Formgebung ist Gootkit in welcher Stellung, Datenmaterial aus dem Browser zu stehlen, Adversary-in-the-Browser (AitB)-Angriffe durchzuführen, Keylogging durchzuführen, Screenshots zu zeugen und andere böswillige Aktionen durchzuführen.

Die neuen Ergebnisse von Trend Micro zeigen, dass die Schlüsselwörter „Spital“, „Health“, „Medical“ und „Enterprise Agreement“ mit verschiedenen Städtenamen in fünfter Kontinent gepaart wurden, welches die Streuung einer Schadsoftware weiterführend Wirtschaftsprüfungs- und Anwaltskanzleien hinaus kennzeichnet.

Jener Keimzelle des Cyberangriffs besteht darin, Benutzer, die nachdem denselben Schlüsselwörtern suchen, zu einem infizierten WordPress-Internet-Tagebuch zu leiten, welcher sie dazu verleitet, mit Schadsoftware verseuchte ZIP-Dateien herunterzuladen.

“Beim Zugriff aufwärts die Website wird dem Benutzer ein Fernseher präsentiert, welcher wie ein legitimes Forum aussieht”, sagten Forscher von Trend Micro. “Benutzer werden dazu gebracht, aufwärts den Link zuzugreifen, damit die schädliche ZIP-File heruntergeladen werden kann.”

Gootkit-Malware-Angriffe

Darüber hinaus wird welcher JavaScript-Kode, welcher verwendet wird, um jene Tricks durchzuziehen, in zufällige Abschnitte aufwärts welcher angegriffenen Website in eine gültige JavaScript-File eingefügt.

Dasjenige heruntergeladene ZIP-Dokumentensammlung enthält seinerseits wenn schon eine JavaScript-File, die unter welcher Vollstreckung nicht nur verschleiert wird, um sich einer Überprüfung zu entziehen, sondern wenn schon dazu verwendet wird, durch eine geplante Versprechen eine Persistenz aufwärts welcher Maschine herzustellen.

Die Ausführungskette führt anschließend zu einem PowerShell-Skript, dasjenige darauf ausgelegt ist, Dateien von einem Remote-Server zu Händen Postamt-Exploitation-Aktivitäten abzurufen, die erst nachdem einer Wartezeit von einigen Zahlungsfrist aufschieben solange bis zu zwei Tagen beginnen.

„Sie Latenz, die die anfängliche Infektionsphase lukulent von welcher zweiten Winkel trennt, ist ein charakteristisches Merkmal des Betriebs des Gootkit-Loaders“, sagten die Forscher.

Sowie die Wartezeit verstrichen ist, werden zwei zusätzliche Payloads abgelegt – msdtc.exe und libvlc.dll – erstere ist eine legitime VLC Media Player-Binärdatei, die zum Laden welcher Cobalt Strike DLL-Komponente verwendet wird, gefolgt vom Herunterladen weiterer Tools, um die Erkennung zu vereinfachen.

„Die böswilligen Akteure nachdem [Gootkit] setzen ihre Kampagne quirlig um“, sagten die Forscher. „Die Bedrohungen, die aufwärts bestimmte Berufssektoren, Branchen und geografische Gebiete abzielen, werden immer aggressiver.“

Fanden Sie diesen Verpflichtung interessant? Folge uns aufwärts Twitter und LinkedIn, um weitere zuzüglich Inhalte zu Vorlesung halten, die wir veröffentlichen.



What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top