Dalam kampanye yang sangat spesifik, pengguna yang menelusuri legalitas Kucing Bengal di Australia menjadi sasaran kampanye tersebut Pemuat Goot perangkat lunak perusak.
“Dalam kasus ini, kami menemukan aktor GootLoader menggunakan hasil pencarian untuk informasi tentang kucing tertentu dan geografi tertentu yang digunakan untuk mengirimkan muatan: 'Apakah Kucing Bengal legal di Australia?,'” peneliti Sophos Trang Tang, Hikaru Koike, Asha Castle, dan Sean Gallagher mengatakan dalam laporan yang diterbitkan minggu lalu.
GootLoader, sesuai dengan namanya, adalah pemuat malware yang biasanya didistribusikan menggunakan taktik peracunan optimasi mesin pencari (SEO) untuk akses awal.
Secara khusus, malware ini disebarkan ke mesin korban ketika mencari istilah tertentu seperti dokumen hukum dan perjanjian di mesin pencari seperti Google memunculkan tautan jebakan yang menunjuk ke situs web yang disusupi yang menghosting arsip ZIP yang berisi muatan JavaScript.
Setelah terinstal, ia membuka jalan bagi malware tahap kedua, sering kali merupakan pencuri informasi dan trojan akses jarak jauh yang dijuluki GootKit, meskipun ia juga pernah diamati mengirimkan keluarga lain seperti Cobalt Strike, IcedID, Kronos, REvil, dan SystemBC di masa lalu untuk pasca eksploitasi.
Rantai serangan terbaru juga sama dengan penelusuran untuk “Apakah Anda memerlukan lisensi untuk memiliki kucing Bengal di Australia” yang menyertakan tautan ke situs web sah namun terinfeksi milik pembuat tampilan LED yang berbasis di Belgia, dari di mana korban diminta untuk mengunduh arsip ZIP.
Hadir dalam arsip ZIP adalah file JavaScript yang kemudian bertanggung jawab untuk memulai rantai serangan multi-tahap yang berpuncak pada eksekusi skrip PowerShell yang mampu mengumpulkan informasi sistem dan mengambil muatan tambahan. Perlu dicatat bahwa kampanye serupa didokumentasikan oleh Cybereason awal Juli ini.
Sophos mengatakan pihaknya tidak mengamati penerapan GootKit dalam kasus yang dianalisis perusahaan, sehingga mencegah pengunduhan malware tambahan.
“GootLoader adalah salah satu dari sejumlah operasi pengiriman malware sebagai layanan yang sangat memanfaatkan hasil pencarian sebagai sarana untuk menjangkau korban,” kata para peneliti. “Penggunaan pengoptimalan mesin telusur, dan penyalahgunaan iklan mesin telusur untuk memikat target agar mengunduh pemuat dan penetes malware, bukanlah hal baru—GootLoader telah melakukan hal ini setidaknya sejak tahun 2020.”