GootLoader Malware IOCs - Part 4

security IOC

Вредоносная программа Gootloader, использующая SEO-методы, взламывает легитимные WordPress-сайты и подменяет результаты поиска Google, чтобы заразить компьютеры пользователей.

GootLoader Malware

Создатели Gootloader заманивают людей на взломанные легитимные WordPress-сайты с помощью результатов поиска Google, представляя имитацию онлайн-доски объявлений. Затем они дают ссылку на вредоносную программу из имитированной «беседы», где посетитель задает вопрос администратору сайта. Большая часть процесса заражения происходит с помощью кода, запускаемого на взломанном сервере WordPress и на другом сервере, который организует генерацию страницы, отвечающей на вопросы пользователей. Владельцы взломанных WordPress-страниц часто не могут обнаружить изменения на своих сайтах или запуск кода Gootloader. Получить доступ к коду для его изучения обычно сложно.

Sophos X-Ops реконструировала функционирование серверных операций Gootloader, используя информацию, полученную из открытых источников в Интернете. Они описывают, как работает процесс заражения, включая проверку посетителей на загруженных страницах, динамическую генерацию доски объявлений и управление многоступенчатым процессом заражения через сервер, контролируемый операторами Gootloader.

Gootloader использует вредоносный SEO-метод для доставки вредоносных JScript-файлов уже почти восемь лет. Операторы Gootloader постоянно меняют имена файлов для обхода антивирусных систем. Чтобы обнаружить новые имена, исследователи использовали сервисы VirusTotal и разработали правила Yara для поиска угроз. Код Gootloader сильно обфусцирован, разбит на части и использует случайно сгенерированные имена переменных.

Indicators of Compromise

IPv4

  • 5.8.18.159
  • 5.8.18.7
  • 91.215.85.52

Domains

  • my-game.biz

URLs

  • http://5.8.18.7/filesst.php?a=$i&b=$u&c=$r&d=$h&e=$g
  • http://5.8.18.7/filezzz.php

SHA256

  • 03a46ad7873ddb6663377282640d45e38697e0fdc1512692bcaee3cbba1aa016
  • 0874d307fc45886d2751cd9e6816513dc3e1604e514ef1b291bbe7b1a887cd96
  • 1fcc418bdd7d2d40e7f70b9d636735ab760e1044bb76f8c2232bd189e2fd8be7
  • 258cb1d60a000e8e0bb6dc751b3dc14152628d9dd96454a3137d124a132a4e69
  • 5d50a7cf15561f35ed54a2e442c3dfdac1d660dc18375f7e4105f50eec443f27
  • 7bcffa722687055359c600e7a9abf5d57c9758dccf65b288ba2e6f174b43ac57
  • 89672c08916dd38d9d4b7f5bbf7f39f919adcaebc7f8bb1ed053cb701005499a
  • af50c735173326b2af2e2d2b4717590e813c67a65ba664104880dc5d6a58a029
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий