Firmas legales han sido afectadas por las campañas de malware GootLoader y FakeUpdates

Dos campañas han sido lanzadas

Firmas legales han sido afectadas por las campañas de malware GootLoader y FakeUpdates

Firmas legales son uno de los principales objetivos de los ciber criminales porque tienen acceso a información sensible. De acuerdo a la firma de ciber seguridad eSentire, en Enero y Febrero de 2023, seis firmas legales diferentes fueron atacadas en dos campañas de ataques diferentes que desplegaron los malwares GootLoader y SocGholish. Los ataques usaron sofisticadas técnicas para infiltrarse en las redes y sistemas de las firmas legales.

GootLoader es un descagador que fue inicialmente identificado a finales de 2020. Desde entonces, se ha usado para distribuir una gran variedad de cargas explosivas secundarias, tales como Cobalt Strike y otros ransomwares. El malware emplea el envenenamiento por optimización de motores de búsqueda (SEO) para canalizar a las víctimas que buscan documentos relacionados con negocios hacia sitios de descargas que colocan un malware JavaScript.

En la primera campaña, los atacantes comprometieron páginas WordPress vulnerables para añadir nuevas publicaciones al blog que contenían keywords legales relacionadas con sus ámbitos. Los blogs infectados fueron usados para atraer la atención de reclutadores legales y aumentar los rankings de posicionamiento web de éstas publicaciones. Las víctimas fueron entonces reconducidas a un falso foro donde eran instados a descargar una supuesta plantilla de acuerdo de contrato que realmente era el virus GootLoader.

El malware SocGholish, también conocido como FakeUpdates, fue usado por los atacantes en la segunda campaña para afectar a los empleados de firmas legales y otros negocios profesionales. Éste habilita a los atacantes conducir el reconocimiento y lanzar más cargas explosivas, tales como Cobalt Strike y el ransomware LockBit.

El ataque usaba dominios envenedados, incluyendo la página web de una notoria compañía de Miami que había sido atacada ya. La página hackeada sirvió al virus SocGholish para mostrarse en forma de notificación pop-up promoviendo a los usuarios actualizar su navegador Chrome. El operador SocGholish infectan un gran número de páginas webs de poco tráfico para atraer la atención de páginas webs de alto valor, como firmas legales.

La información sensible sobre clientes, personas y usuarios es un objetivo atractivo para los hackers y ciber criminales. Estas campañas donde los ladrones de información se difunden son muy comunes. Otros ataques en empresas particulares como Google o plataformas de redes sociales pueden exponer los detalles de los datos de usuario y conducir a estafas directas.

Foco en el espionaje

Los ataques sobre firmas legales usando GootLoader y SocGholish son preocupantes ya que parecen centrarse en operaciones de espionaje más que en obtener beneficios económicos. Los atacantes no desplegaron ningún ransomware, en vez de hecho prefirieron obtener actividad de primera mano. Esto sugiere que los ataques podrían haber tenido objetivos diversificados donde se incluyen operaciones de ciber espionaje. Tal y como ha apuntado el investigador Keegan Keplinger de eSentire:

Prior to 2021, email was the primary infection vector used by opportunistic threat actors. From 2021 to 2023, browser-based attacks have steadily been growing to compete with email as the primary infection vector.

Esta tendencia es gracias a GootLoader, SocGholish, SolarMarker y a recientes campañas que aprovechan Google Ads para aparecer entre los principales resultados de búsqueda.

A parte de la potencial pérdida de información sensible, las firmas legales y otros negocios afectados por ataques de malware podrían enfrentarse a varias consecuencias legales. GootLoader usa prácticas de SEO fraudulentas para proporcionar ua página entre los resultados de búsqueda relevantes de Google, los cuales colocan páginas que usan webs en peligro de ataques de malware.

El problema es que este descargador de software cambia las páginas webs para ofrecer varias webs cada vez que pulsas en un enlace, cambiando la forma particular en que la gente las recibe e interactúa con ellas. Esto puede conducir a severos fines y a un riesgo potencial de intentos de phishing porque GootLoader envía a sus usuarios a una página que podría ser usada como «trampa» o «cebo» para los usuarios más incautos.

Medidas de prevención que deben ser aplicadas

Para prevenir GootLoader y otros ataques de malware, las organizaciones deben tomar medidas preventinas como evitar descargar plugins impactados, especialmente el actual plugin de GootLoader en sí mismo.

La prevención de desastres con tu CMS y páginas webs también incluye mirar indicaciones de alerta como un archivo JavaScript que se ejcuta por Wscript y un archivo llamado «agreement.js» (para los usuarios de sitios en inglés). A parte de esto, las organizaciones deben mantener sus softwares actualizados, usar autentificación de doble factor e implementar protocolos de seguridad apropiados.

En conclusión, las firmas legales y otros negocios deben permanecer atentos contra la creciente amenaza de ataques de malware. Las campañas de GootLoader y SocGholish demuestran los potenciales peligros de estas sofisticadas cadenas de malware.

Sobre el autor
Gabriel E. Hall
Gabriel E. Hall - Apasionada investigadora de virus

Gabriel E. Hall es una apasionada investigadora de malware que ha estado trabajando para LosVirus.es desde hace casi una década.

Contactar con Gabriel E. Hall
Sobre la empresa Esolutions