Advokatfirmaer utsatt for GootLoader- og FakeUpdates-angrep

To angrep er iverksatt

Advokatfirmaer utsatt for GootLoader- og FakeUpdates-angrep

Advokatfirmaer er et av hovedmålene for nettkriminelle, på grunn av at de har tilgang til sensitive opplysninger. Ifølge nettsikkerhetsfirmaet eSentire, ble seks ulike advokatfirmaer utsatt for to forskjellige angrep med malware-truslene GootLoader og SocGholish. I angrepene ble det benyttet sofistikerte teknikker for å infiltrere advokatfirmaenes nettverk og systemer.

GootLoader er en trussel som først ble identifisert på slutten av 2020. Siden den gang har det blitt brukt til å levere en rekke sekundære trusler, som Cobalt Strike og ransomware. Malware-trusselen bruke søkemotorforgiftning for å sende ofre som er ute etter bedriftsrelaterte dokumenter til drive-by-nedlastingssider med JavaScript-malware.

I det første angrepet brukte angriperne sårbare WordPress-sider til å legge til nye blogginnlegg med juridiske nøkkelord. De infiserte bloggene ble brukt til å tiltrekke seg advokater og øke søkemotorenes rangering av nettstedet. Ofrene ble deretter omdirigert til en falsk forumnettside der de ble bedt om å laste ned en avtale eller kontraktsmal, som i realiteten var GootLoader.

Malware-trusselen SocGholish, også kjent som FakeUpdates, ble brukt i det andre angrepet som ble rettet mot ansatte i advokatfirmaer og andre forretningsfolk. Denne gjør det mulig for angriperne å foreta rekognosering og kjøre andre trusler, som Cobalt Strike og LockBit.

Angrepene brukte infiserte domener, inkludert det kaprede nettstedet til et notariusfirma i Miami. Den hackede nettsiden serverte SocGholish-viruset i stedet for et popup-vindu som rådet brukerne til å oppdatere Chrome-nettleseren. SocGholish-operatørene infiserer et stort antall nettsteder med lavere trafikk for å få tak i målnettsteder med høy verdi, for eksempel advokatfirmaer.

Sensitiv informasjon om kunder, personer og brukere er attraktive mål for hackere og andre nettkriminelle. Angrep hvor man sprer informasjonstyver er vanlige. Andre angrep på bestemte selskaper som Google eller sosiale medier kan eksponere detaljer om brukernes data og føre til svindel.

Spionfokus

Angrepene på advokatfirmaer med malware-truslene GootLoader og SocGholish er bekymringsfulle ettersom de ser ut til å være fokusert på spionasje i stedet for økonomisk gevinst. Angriperne distribuerte ikke ransomware, men foretrakk i stedet praktisk aktivitet. Dette antyder at angrepene kunne ha endret omfang til å inkludere nettspionasjeoperasjoner. Som eSentire-forsker Keegan Keplinger sa:

Prior to 2021, email was the primary infection vector used by opportunistic threat actors. From 2021 to 2023, browser-based attacks have steadily been growing to compete with email as the primary infection vector.

Denne trenden er i stor grad takket være GootLoader, SocGholish, SolarMarker og nylige angrep som utnytter Google Ads for å få de beste søkeresultatene.

Bortsett fra potensielt tap av sensitiv informasjon, kan advokatfirmaer og andre virksomheter som er ofre for malware-angrep oppleve andre alvorlige, juridiske konsekvenser. GootLoader bruker uredelig SEO-praksis for å få et nettsted inn i relevante søkeresultater i Google, slik at nettsider som bruker nettsider står i fare for malware-angrep.

Problemet er at denne nedlastingsprogramvaren endrer gjeldende nettsider for å tilby ulike nettsider hver gang lenken din brukes, noe som endrer hvordan bestemte brukere oppfatter dem. Dette kan føre til store bøter og risiko for potensielle phishing-forsøk fordi GootLoader sender brukere til en nettside som kan bli brukt som en «felle» eller «agn» mot uforsiktige brukere.

Forebyggende tiltak som bør iverksettes

For å forhindre GootLoader og andre malware-angrep, må organisasjoner iverksette forebyggende tiltak, som å unngå nedlasting av berørte tilleggsprogrammer, spesielt GootLoader i seg selv.

Katastrofeforebygging med CMS og nettsider inkluderer også å se etter varselsignaler som at JavaScript-filer som kjøres av Wscript og en fil kalt «agreement.js» (for engelske brukere). Utover dette må organisasjoner også holde programvaren oppdatert, bruke totrinnsautentisering og implementere egnede sikkerhetsprotokoller.

Advokatfirmaer og virksomheter må altså være årvåkne mot den økende trusselen fra malware-angrep. GootLoader- og SocGholish-angrepene viser de potensielle farene som disse sofistikerte malware-stammene utgjør.

Om forfatteren
Gabriel E. Hall
Gabriel E. Hall - Lidenskapelig virusforsker

Gabriel E. Hall er en lidenskapelig malware forsker som har jobbet for viruset.no i nesten et tiår.

Kontakt Gabriel E. Hall
Om selskapet Esolutions