یک تیم امنیتی ترفندهای این باند بدافزار را در مقابل آن قرار می دهد

برخی گروه های مجرم سایبری مانند باج افزارهای باج افزار، اپراتورهای بات نت، و کلاهبرداران کلاهبرداری مالی، توجه ویژه ای را برای حملات و عملیات خود جلب می کنند. اما ا،یستم بزرگ‌تری که زیربنای جرایم دیجیتالی است شامل مجموعه‌ای از بازیگران و سازمان‌های م،ب است که اساساً خدمات پشتیب، را به این مشتریان جنایتکار می‌فروشند. امروزه محققان شرکت امنیتی eSentire هستند آشکار شدن روش‌های آنها برای ایجاد اختلال در عملیات یک شرکت مجرمانه قدیمی که ،ب‌وکارها و سایر سازمان‌ها را به خطر می‌اندازد و سپس آن دسترسی دیجیتال را به مهاجمان دیگر می‌فروشد.

ب،زار Gootloader و مجرمان پشت سر آن که به ،وان یک عملیات دسترسی اولیه به ،وان یک سرویس شناخته می‌شود، سال‌هاست که در حال کلاهبرداری و کلاهبرداری بوده‌اند. باند Gootloader سازمان‌های قرب، را آلوده می‌کند و سپس دسترسی را می‌فروشد تا ب،زار مورد نظر مشتری را به شبکه هدف آسیب‌دیده تحویل دهد، خواه این باج‌افزار، مک،سم‌هایی برای است،اج داده‌ها یا سایر ابزارها برای به خطر انداختن عمیق‌تر هدف باشد. برای مثال، از ردیابی داده‌های صفحه Gootloader، محققان eSentire شواهدی را جمع‌آوری ،د که نشان می‌دهد باند باج‌افزار بدنام مستقر در روسیه REvil به طور منظم بین سال‌های 2019 تا 2022 با Gootloader کار می‌کرد تا به قرب،ان دسترسی اولیه داشته باشد. سایر محققان دارند متوجه شد همچنین.

جو استوارت، محقق اصلی امنیت eSentire و کیگان کپلینگر، محقق ارشد تهدید، یک ،نده وب برای پیگیری صفحات وب زنده Gootloader و سایت‌های قبلاً آلوده طراحی ،د. در حال حاضر، این دو حدود 178000 صفحه وب Gootloader زنده و بیش از 100000 صفحه را می بینند که از نظر تاریخی به نظر می رسد که به Gootloader آلوده شده اند. در یک مشاوره گذشته نگر سال گذشته، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده هشدار داد که Gootloader یکی از برترین ب،زارهای سال 2021 در کنار 10 نوع دیگر بود.

استوارت و کپلینگر با ردیابی فعالیت‌ها و عملیات Gootloader در طول زمان، ویژگی‌هایی را شناسایی ،د که چگونه Gootloader مسیرهای خود را پوشش می‌دهد و تلاش می‌کند از تشخیصی که م،عان می‌توانند از آن برای محافظت از شبکه‌ها در برابر آلوده شدن استفاده کنند، فرار کند.

استوارت می‌گوید: «با کنکاش عمیق‌تر در مورد نحوه عملکرد سیستم Gootloader و ب،زار، می‌تو،د همه این فرصت‌های کوچک را برای تأثیرگذاری بر عملیات آن‌ها پیدا کنید. وقتی توجه من را جلب می‌کنید، من در مورد چیزهایی وسواس پیدا می‌کنم، و این چیزی است که شما به‌،وان یک نویسنده ب،زار نمی‌خواهید این باشد که محققان به طور کامل در عملیات شما غوطه‌ور شوند.»

خارج از دید، خارج از ذهن

Gootkit از یک تروجان بانکی به نام Gootkit تکامل یافته است که از اوایل سال 2010 اه، را عمدتاً در اروپا آلوده کرده است. Gootkit معمولاً از طریق ایمیل های فیشینگ یا وب سایت های آلوده توزیع می شد و برای سرقت اطلاعات مالی مانند داده های کارت اعتباری و ورود به حساب های بانکی طراحی شده بود. با این حال، در نتیجه فعالیت‌هایی که در سال 2020 آغاز شد، محققان Gootloader را به طور جداگانه ردیابی ،د زیرا مک،سم تحویل ب،زار به طور فزاینده‌ای برای توزیع مجموعه‌ای از نرم‌افزارهای مجرمانه از جمله جاسوس‌افزار و باج‌افزار استفاده می‌شود.

اپراتور Gootloader به دلیل توزیع پیوندها به اسناد در معرض خطر، به ویژه ال،ا و سایر اشکال عمومی شناخته شده است. هنگامی که اه، برای دانلود این اسناد روی پیوندها کلیک می کنند، ناخواسته خود را به ب،زار Gootloader آلوده می کنند. برای به دست آوردن اه، برای شروع دانلود، مهاجمان از تاکتیکی به نام مسمومیت بهینه سازی موتورهای جستجو برای به خطر انداختن وبلاگ های قانونی، به ویژه وبلاگ های وردپرس، استفاده می کنند و سپس بی سر و صدا محتوایی را به آنها اضافه می کنند که شامل پیوندهای اسناد م،ب است.

Gootloader برای نمایش اتصالات به پست های وبلاگ آلوده برای تعدادی ویژگی طراحی شده است. به ،وان مثال، اگر شخصی به یک وبلاگ وردپرس در معرض خطر وارد شده باشد، خواه دارای امتیازات مدیر باشد یا نداشته باشد، از دیدن پست های وبلاگ حاوی لینک های م،ب مسدود می شود. و Gootloader تا آنجا پیش می‌رود که آدرس‌های IP را که از نظر عددی نزدیک به آدرسی هستند که در یک حساب وردپرس مربوطه وارد شده‌اند را مسدود می‌کند. ایده این است که افراد دیگر در همان سازمان از دیدن پست های م،ب جلوگیری کنند.