El malware GootLoader ha vuelto a la actividad, utilizando una innovadora técnica de ofuscación con fuentes WOFF2 personalizadas para ocultar sus cargas útiles en sitios de WordPress comprometidos, según nuevos hallazgos de Huntress.

La compañía identificó varias infecciones recientes, algunas derivadas en compromisos de controladores de dominio en menos de 17 horas. El nuevo método permite que los archivos maliciosos se vean como documentos PDF legítimos en el navegador, mientras que su código subyacente muestra caracteres aleatorios al inspeccionarse, evadiendo así el análisis estático.

Además, los atacantes modifican los archivos ZIP para que aparenten contener texto inofensivo en herramientas de análisis, pero extraigan un JavaScript malicioso cuando se abren en Windows. Este script descarga la puerta trasera Supper (SocksShell) y emplea WinRM para moverse lateralmente dentro del entorno comprometido.

GootLoader, vinculado al grupo Hive0127 (UNC2565), continúa distribuyéndose mediante tácticas de envenenamiento SEO y anuncios falsos en Google, dirigiendo a las víctimas hacia sitios que alojan cargas cifradas con XOR. El objetivo final sigue siendo el mismo: establecer persistencia, facilitar acceso remoto y desplegar ransomware.

Recomendaciones

  • Analizar fuentes WOFF2 incrustadas y ZIP con comportamiento anómalo.
  • Bloquear descargas de WordPress comprometidos y campañas de Google Ads sospechosas.
  • Monitorear actividad WinRM, creación de usuarios y tráfico SOCKS5 desde endpoints.
  • Restringir el uso de herramientas de acceso remoto no autorizadas como AnyDesk.

https://thehackernews[.]com/

You May Also Like

🚨 Crítica vulnerabilidad en Commvault Command Center permite ejecución remota sin autenticación

HKN FEED

Los hackers explotan falla en Magento para sustraer información de pago en tiendas online.

HKN FEED

Recientes vulnerabilidades en Citrix Virtual Apps posibilitan ataques de Ejecución Remota de Código (RCE) debido a una configuración incorrecta de MSMQ

HKN FEED