Gootkit sfrutta VLC Media Player per gli attacchi

Gootkit sfrutta VLC Media Player per gli attacchi

Ignoti cybercriminali hanno sfruttato una versione legittima e firmata di VLC Media Player per installare Cobalt Strike attraverso il loader Gootkit.
Ignoti cybercriminali hanno sfruttato una versione legittima e firmata di VLC Media Player per installare Cobalt Strike attraverso il loader Gootkit.

Gli esperti di Trend Micro hanno individuato nuovi attacchi effettuati con il loader Gootkit contro aziende che operano nel settore sanitario. I cybercriminali sfruttano la tecnica SEO poisoning per l’accesso iniziale e il noto VLC Media Player per distribuire Cobalt Strike e installare altri malware.

Gootkit: SEO poisoning e DLL side-loading

Il primo step degli attacchi prevede l’uso della tecnica denominata SEO poisoning. Quando l’ignara vittima utilizza determinate keyword relative a informazioni mediche, abbinate a nomi di città australiane, Google mostra anche i siti creati dai cybercriminali che sembrano legittimi. In pratica viene “avvelenato” il ranking per portare i risultati in primo piano.

I siti sono forum che contengono le presunte risposte alle domande degli utenti all’interno di un archivio ZIP da scaricare sul computer. In realtà c’è un file JavaScript (Gootkit) che, quando eseguito, crea un’attività pianificata. Viene quindi scaricato uno script PowerShell che recupera altri file dal server remoto, tra cui msdtc.exe e libvlc.dll.

L’eseguibile è una versione legittima e firmata di VLC Media Player, mentre la DLL è una libreria fasulla del lettore multimediale. L’avvio di VLC causa il caricamento in memoria della DLL, sfruttando la tecnica denominata DLL side-loading. A questo punto vengono eseguiti due processi (dllhost.exe e wabmig.exe) usati per distribuire Cobalt Strike.

Sfruttando il noto tool, i cybercriminali possono caricare script per l’accesso alla rete interna e rubare le credenziali. I ricercatori non hanno scoperto il payload finale, ma Cobalt Strike viene utilizzato spesso per attacchi ransomware.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Trend Micro
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 12 gen 2023
Link copiato negli appunti