После года затишья операторы трояна Gootkit вернулись в строй

После года затишья троян для похищения данных Gootkit снова используется киберпреступниками. Как сообщил исследователь безопасности под псевдонимом The Analyst, на прошлой неделе троян стал использоваться вместе с вымогательским ПО REvil в вредоносной кампании, нацеленной на пользователей в Германии.

Gootkit представляет собой троян на базе Javascript, способный выполнять целый ряд вредоносных функций, в том числе предоставлять своим операторам удаленный доступ к зараженной системе, записывать нажатия клавиш на клавиатуре, записывать видео, похищать электронные письма и пароли и внедрять вредоносные скрипты для похищения банковских данных.

В прошлом году киберпреступная группировка Gootkit стала жертвой утечки данных, по недосмотру оставив незащищенную базу данных MongoDB в открытом доступе. Считалось, что после инцидента операторы трояна свернули свою деятельность, однако в прошлом месяце они снова вернулись в строй.

В ходе новой кампании киберпреступники взламывают сайты под управлением WordPress и с помощью техники, известной как «отравление SEO» (SEO poisoning), заставляют их переадресовывать посетителей на поддельные публикации на формах. Злоумышленники выдают эти публикации за вопросы и ответы с ссылками на поддельные формы и загрузки.

Как сообщили специалисты Malwarebytes, когда пользователь нажимал на ссылку, на его компьютер загружался ZIP-архив с обфусцированным JS-файлом, устанавливающим либо троян Gootkit, либо вымогательское ПО REvil. Такой же метод атаки использовали операторы REvil в сентябре 2019 года, как раз в то время, когда группировка Gootkit предположительно прекратила свое существование.