Studi legali presi di mira nelle campagne malware GootLoader e FakeUpdates

Sono state lanciate due campagne

Gli studi legali sono il principale obiettivo dei criminali informatici perché hanno accesso alle informazioni sensibili dei clienti. Secondo la società di sicurezza informatica eSentire, a gennaio e febbraio del 2023, sei diversi studi legali sono stati presi di mira nel corso di due campagne separate che hanno distribuito il malware GootLoader e SocGholish. Gli attacchi hanno impiegato tecniche sofisticate per permettere agli hacker di infiltrarsi nelle reti e nei sistemi degli studi legali.

GootLoader è un downloader che è stato identificato per la prima volta alla fine del 2020. Da allora è stato adoperato per fornire un'ampia gamma di payload secondari, come Cobalt Strike e ransomware. Il malware inquina l'ottimizzazione dei motori di ricerca (SEO) per indurre le vittime a ricercare documenti aziendali su siti di download drive-by che rilasciano il malware JavaScript.

Nella prima campagna, gli hacker hanno compromesso siti Web WordPress vulnerabili per aggiungere nuovi post che contenevano parole chiave legali. I blog infetti sono stati utilizzati per attirare reclute lecite e accrescere i ranghi dei motori di ricerca dei siti web. Le vittime sono state quindi indirizzate a un falso sito Web in cui è stato chiesto loro di scaricare un presunto accordo o modello di contratto che in realtà era GootLoader.

Il malware SocGholish, noto anche come FakeUpdates, è stato utilizzato dagli aggressori nella seconda campagna per prendere di mira i dipendenti di studi legali e altri professionisti aziendali. Consente agli aggressori di condurre ricognizioni e lanciare ulteriori payload, come Cobalt Strike e il ransomware LockBit. Gli attacchi hanno utilizzato domini avvelenati, incluso il sito Web di una società notarile di Miami che era stato rilevato.

Il sito Web compromesso ha inviato il virus SocGholish al posto della notifica pop-up che consigliava agli utenti di aggiornare il proprio browser Chrome. Gli operatori SocGholish infettano un gran numero di siti Web a basso traffico per accaparrarsi siti Web target di alto valore come gli studi legali.

Le informazioni sensibili su clienti, persone e utenti sono un obiettivo allettante per hacker e vari criminali informatici. Tali campagne in cui si diffondono i ladri di informazioni sono comuni. Altri attacchi a società particolari come Google o piattaforme di social media possono esporre dettagli sui dati degli utenti e portare a truffe dirette.

Operazioni di spionaggio

Gli attacchi agli studi legali mediante l'impiego dei malware GootLoader e SocGholish sono preoccupanti in quanto sembrano essere focalizzati su operazioni di spionaggio piuttosto che su guadagni finanziari. Gli aggressori non hanno distribuito alcun ransomware, preferendo, al contrario, eseguire attività pratiche. Ciò suggerisce che gli attacchi ne hanno diversificato la portata includendo anche operazioni di spionaggio informatico. Come ha osservato il ricercatore di eSentire Keegan Keplinger:

Prima del 2021, le email erano il principale vettore per le infezioni. Dal 2021 al 2023, gli attacchi basati su browser sono in costante crescita e sono sempre più in competizione con le email per ottenere il primato di vettore principale.

Questa tendenza è in gran parte dovuta a GootLoader, SocGholish, SolarMarker e alle recenti campagne che sfruttano Google Ads per far comparire i siti nelle migliori posizioni dei risultati di ricerca.

Tralasciando la potenziale perdita di informazioni sensibili, gli studi legali e altre attività prese di mira da attacchi di malware potrebbero dover affrontare gravi conseguenze di natura legale. GootLoader utilizza pratiche SEO fraudolente per portare una pagina nei risultati di ricerca di Google pertinenti, mettendo in risalto siti Web pericolosi.

Il problema è che questo downloader modifica i siti Web attuali con lo scopo di aprire le porte a diverso genrre di siti Web ogni volta che ci si collega al link, modificando il modo in cui singole persone li percepiscono. Ciò può comportare multe severe e il rischio di potenziali tentativi di phishing, dal momento che GootLoader invia gli utenti a una pagina che potrebbe essere utilizzata come “trappola” o “esca” per utenti incauti.

Sono necessarie delle misure di prevenzione

Per prevenire GootLoader e altri attacchi di malware, le organizzazioni devono adottare misure preventive come, ad esempio, evitare di scaricare plug-in interessati, in particolare il plug-in GootLoader stesso.

La prevenzione delle catastrofi con il tuo CMS e le tue pagine web prevede anche la ricerca di indicazioni di avviso come un file JavaScript eseguito da Wscript e un file chiamato “agreement.js” (per gli utenti del sito inglese). Oltre a questo, le organizzazioni sono tenute a mantenere aggiornato il proprio software, utilizzare l'autenticazione a due fattori e implementare protocolli di sicurezza adeguati.

In conclusione, gli studi legali e le imprese hanno il compito di rimanere vigili contro la crescente minaccia di attacchi malware. Le campagne GootLoader e SocGholish sono un esempio evidente del potenziale pericolo di questi sofisticati ceppi di malware.