Gootkit Malware Continues to Evolve with New Components and Obfuscations
มัลแวร์ Gootkit หรือที่เรียกอีกชื่อว่า Gootloader ได้แพร่กระจายผ่านเว็บไซต์ที่ถูกบุกรุก ซึ่งเหยื่อจะถูกหลอกให้เข้าชมและเมื่อค้นหาเอกสารที่เกี่ยวข้องกับธุรกิจ เช่น ข้อตกลงและสัญญาต่างๆ เป็นต้น ซึ่งเอกสารที่ถูกค้นหานั้นจะอยู่ในรูปแบบของไฟล์ ZIP ที่ซ่อนมัลแวร์ JavaScript เอาไว้ และเมื่อเปิดไฟล์เอกสารนั้นจะนำไปสู่การดาวน์โหลดเพย์โหลดเพิ่มเติม เช่น Cobalt Strike Beacon, FONELAUNCH และ SNOWCONE
โดย FONELAUNCH เป็นตัวดาวน์โหลดที่ใช้ NET ซึ่งออกแบบมาเพื่อโหลดเพย์โหลดที่เข้ารหัสลงในหน่วยความจำ ในขณะที่ SNOWCONE เป็นตัวดาวน์โหลดที่มีหน้าที่ดึงข้อมูลเพย์โหลดขั้นต่อไป ซึ่งโดยทั่วไปจะไปดึงเพย์โหลดของมัลแวร์ IcedID ผ่าน HTTP
ทีมวิจัยของ Trend Micro ได้รายงานว่าเมื่อต้นเดือนต้นเดือนที่ผ่านมา พบการโจมตีของมัลแวร์ Gootkit ที่กำหนดเป้าหมายภาคการดูแลสุขภาพของประเทศออสเตรเลีย ยิ่งไปกว่านั้นผู้เขียนมัลแวร์ยังกล่าวกันว่าใช้แนวทางที่แตกต่างกันเพื่อปิดบัง Gootkit รวมถึงการปกปิดโค้ดภายในเวอร์ชันดัดแปลงของไลบรารี JavaScript ที่ถูกต้อง เช่น jQuery, Chromajs และ Underscorejs เพื่อพยายามหลบหนีการตรวจจับ
https://thehackernews.com/2023/01/gootkit-malware-continues-to-evolve.html