Enam firma hukum berbeda ditargetkan pada Januari dan Februari 2023 sebagai bagian dari dua kampanye ancaman berbeda yang mendistribusikan strain malware GootLoader dan FakeUpdates (alias SocGholish).
GootLoader, aktif sejak akhir 2020, adalah pengunduh tahap pertama yang mampu memberikan berbagai muatan sekunder seperti Cobalt Strike dan ransomware.
Ini terutama menggunakan keracunan pengoptimalan mesin pencari (SEO) untuk menyalurkan korban yang mencari dokumen terkait bisnis ke situs unduhan drive-by yang menjatuhkan malware JavaScript.
Dalam kampanye yang dirinci oleh perusahaan keamanan siber eSentire, para aktor ancaman dikatakan telah berkompromi secara sah, tetapi rentan, WordPress situs web dan menambahkan posting blog baru tanpa sepengetahuan pemiliknya.
"Ketika pengguna komputer menavigasi ke salah satu halaman web berbahaya ini dan menekan tautan untuk mengunduh perjanjian bisnis yang diklaim, mereka tanpa sadar mengunduh GootLoader," kata peneliti eSentire Keegan Keplinger pada Januari 2022.
Malware GootLoader dan FakeUpdates. ( thehackernews )
GootLoader jauh dari satu-satunya malware JavaScript yang menargetkan profesional bisnis dan karyawan firma hukum. Serangkaian serangan kedua juga memerlukan penggunaan SocGholish, yang merupakan pengunduh yang mampu menjatuhkan lebih banyak executable.
Rantai infeksi semakin signifikan untuk memanfaatkan situs web yang sering dikunjungi oleh firma hukum sebagai lubang penyiraman untuk mendistribusikan malware dengan kedok pembaruan browser palsu.
Aspek menonjol lain dari intrusi kembar terjadi tanpa adanya penyebaran ransomware, alih-alih mendukung aktivitas langsung, menunjukkan bahwa serangan itu dapat terdiversifikasi dalam ruang lingkup untuk memasukkan operasi spionase.
"Sebelum 2021, email adalah vektor infeksi utama yang digunakan oleh aktor ancaman oportunistik," kata Keplinger. Dari 2021 hingga 2023, serangan berbasis browser [...] terus berkembang untuk bersaing dengan email sebagai vektor infeksi utama."
"Ini sebagian besar berkat GootLoader, SocGholish, SolarMarker, dan kampanye terbaru yang memanfaatkan Google Ads untuk mengapungkan hasil penelusuran teratas."