Investigadores descubrieron recientemente "GootBot", una nueva variante del malware Gootloader usada en ataques de envenenamiento SEO. GootBot permite movimientos laterales sigilosos en sistemas infectados, complicando su detección y bloqueo por organizaciones.
Originalmente, Gootloader facilitaba el acceso inicial a los sistemas, a menudo desencadenando incidentes de ransomware. Su evolución busca mayor sigilo y evasión de detección, elevando preocupaciones por el riesgo de ataques de ransomware. GootBot representa un cambio importante en las tácticas post-infección del malware. Comprender su evolución es clave para mitigar riesgos de explotación.
El grupo Gootloader, también conocido como UNC2565 o Hive0127, ha usado técnicas como envenenamiento SEO y sitios WordPress comprometidos desde 2014. En 2022, ampliaron sus tácticas, difundiendo nuevas cargas como Cobalt Strike, IcedID y SystemBC.
Gootloader introduce GootBot, que mejora la infiltración en redes y el despliegue de cargas adicionales. Su objetivo es evadir detección, evitando herramientas comunes como CobaltStrike o RDP para Comando y Control (C2).
La variante GootBot se detectó en campañas de envenenamiento SEO, explotando algoritmos de búsqueda con palabras clave para atraer víctimas a sitios donde descargan cargas iniciales sin saberlo.
Tras la infección, GootBot se propaga en redes corporativas, conectándose a distintos servidores C2, usualmente en sitios WordPress comprometidos, dificultando su detección y bloqueo. GootBot permanece indetectado en VirusTotal según investigadores.
Te podría interesar leer: Análisis de Malware con Wazuh
Gootloader infecta al descargar un archivo JavaScript ofuscado. Este coloca otro archivo en una subcarpeta de %AppData%. En lugar de ejecutar la segunda etapa directamente, establece una tarea programada para su ejecución y persistencia. La segunda etapa ejecuta un script de PowerShell y una tercera etapa, que recopila información del sistema para sus 10 servidores C2. Estos utilizan sitios WordPress pirateados, generando URLs que terminan en “/xmlrpc.php”.
El User-Agent y el ID de malware, 3B47772CE3, son consistentes. La respuesta C2 contiene un script de PowerShell que se ejecuta continuamente, permitiendo múltiples cargas desde el C2.
GootBot, una nueva variante de Gootloader, actúa como un script de PowerShell ligero. Contiene una dirección única de servidor C2 y emplea una ligera ofuscación en sus cadenas mediante una clave de reemplazo.
Como Gootloader, GootBot realiza solicitudes GET a su servidor C2 para obtener tareas de PowerShell. Espera recibir una cadena con una carga útil codificada en Base64, incluyendo el nombre de la tarea en los últimos 8 caracteres. GootBot decodifica esta carga, la inyecta en un bloque de script simple y la ejecuta de manera asincrónica en un trabajo en segundo plano con "Start-Job", lo que disminuye las detecciones de EDR al evitar la creación de procesos secundarios.
GootBot envía señales cada 60 segundos, con posibilidad de cambiar la configuración mediante cadenas específicas. También se puede alterar la ruta del directorio de trabajo con una cadena de señal. Tras recibir tareas de C2, GootBot consulta los resultados de las tareas y reporta los trabajos completados o estados específicos para tareas incompletas, como “E1” o “E2”.
Te podrá interesar leer: Detección y Respuesta en Endpoints EDR con Wazuh
GootBot se propaga en el entorno infectado mediante técnicas de movimiento lateral. Los hosts infectados reciben scripts que recopilan información del host y dominio, distribuyendo la carga útil de GootBot a otros hosts. Su infraestructura C2 produce rápidamente múltiples cargas de GootBot, cada una con distintas direcciones de contacto C2. Los scripts de movimiento lateral, que se implementan automáticamente, pueden provocar reinfecciones.
Estos scripts emplean WinRM en PowerShell para propagarse, además de copiar cargas a través de SMB y usar llamadas WinAPI para crear servicios remotos y tareas programadas. En ocasiones, GootBot se propaga usando credenciales exfiltradas.
GootBot también usa variables de entorno para almacenar cadenas cifradas, reduciendo el tamaño del script. Puede simular argumentos del proceso de PowerShell, creando un nuevo proceso antes de escribir el script malicioso en su entrada estándar.
Una de las tareas iniciales de GootBot es un script de reconocimiento que incluye una ID única para el host. Este script recopila información como nombres de usuarios de dominio, detalles del sistema operativo, arquitectura, controladores de dominio, procesos en ejecución, SID, direcciones IP locales y nombres de host, formateando los datos con la ID específica.
Podría interesarte leer: Fase 3 del Mitre ATT&CK: Movimiento Lateral
En resumen, GootBot representa un avance significativo en el ámbito del malware, destacando la continua evolución y sofisticación en las tácticas de ciberataques. Como variante de Gootloader, GootBot se distingue por su enfoque en el sigilo y la eficiencia en el movimiento lateral dentro de las redes infectadas. Su capacidad para evadir la detección y propagarse a través de técnicas avanzadas, como el uso de scripts de PowerShell y la manipulación de procesos y tareas programadas, lo convierte en una amenaza notablemente sigilosa y persistente.
La aparición de GootBot subraya la necesidad de una vigilancia constante y actualizaciones regulares en la seguridad cibernética. Su capacidad para realizar reconocimientos detallados y adaptarse a diferentes entornos lo convierte en una amenaza formidable que requiere una respuesta proactiva y medidas de seguridad robustas para proteger contra las crecientes amenazas de malware en el panorama digital actual.