NUEVA ACTUALIZACIÓN DEL MALWARE GOOTKIT

30/01/2023

BOLETÍN NRO 2023-064

Ciberdelincuentes asociados con el malware Gootkit han realizado cambios en sus herramientas, añadiendo nuevos componentes y ofuscaciones a sus cadenas de infección para dificultar su detección en los sistemas de seguridad.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Gootkit, también llamado Gootloader, se propaga a través de sitios web comprometidos donde las víctimas son engañadas para que visiten este sitio cuando buscan documentos relacionados con negocios como acuerdos y contratos, para ello usan una técnica llamada envenenamiento de optimización de motores de búsqueda (SEO).

Los supuestos documentos adoptan la forma de archivos ZIP que albergan el malware JavaScript, el cual al activarse hace uso de payloads adicionales como Cobalt Strike Beacon, FONELAUNCH y SNOWCONE.

FONELAUNCH es un load basado en .NET diseñado para cargar un payload codificado en la memoria, y SNOWCONE es un descargador que se encarga de recuperar los payloads de la siguiente fase, normalmente IcedID, a través de HTTP.

Aunque los objetivos generales de Gootkit no han cambiado, la secuencia de ataque en sí ha recibido actualizaciones significativas, en las que el archivo JavaScript dentro del archivo ZIP está troyanizado y contiene otro archivo JavaScript ofuscado que, en consecuencia, procede a ejecutar el malware.

Es más, se dice que los autores del malware han adoptado tres enfoques diferentes para ocultar Gootkit, incluyendo la ocultación del código dentro de versiones alteradas de bibliotecas JavaScript legítimas como jQuery, Chroma.js y Underscore.js, en un intento de evitar la detección.

No se trata solo de Gootkit, ya que otras 3 variantes diferentes de FONELAUNCH - FONELAUNCH.FAX, FONELAUNCH.PHONE y FONELAUNCH.DIALTONE han sido utilizados por UNC2565 desde mayo de 2021 para ejecutar DLLs, binarios .NET y archivos PE, lo que indica que las herramientas del malware se mantienen y se actualizan continuamente.

Estos cambios ilustran el desarrollo activo y el crecimiento de las capacidades de UNC2565, según una empresa de ciberseguridad.

Indicadores de Compromiso

IP

92[.]204[.]160[.]240

87[.]120[.]254[.]39

45[.]150[.]108[.]213

146[.]70[.]78[.]43

108[.]61[.]242[.]65

Dominio

onelaunch[.]phone

lakeside-fishandchips[.]com

kristinee[.]com

kepw[.]org

junk-bros[.]com

jonathanbartz[.]com

fonelaunch[.]phone

Hash

MD5: f9365bf8d4b021a873eb206ec98453d9

SHA-256: b7c880252ed3ebf9a11fcdff5186008ee59785c17a68861511fe5116cbe2ab79

MD5: ec17564ac3e10530f11a455a475f9763

SHA-256: 796c5fdd403ea0c247e062b0e206e03cbce62561c00bf0e28b7465125375a996

MD5: ea2271179e75b652cafd8648b698c6f9

SHA-256: 5a2eea2485038ad7f94601f235c46e37eec70716f907f648845c476f809ab51b

MD5: d6220ca85c44e2012f76193b38881185

SHA-256: e9a47aa1498d8c51ea069389d3083df85077134a65029f8a4ca8e30e210e02a7

MD5: d401dc350aff1e3fd4cc483238208b43

SHA-256: f1b33735dfd1007ce9174fdb0ba17bd4a36eee45fadcda49c71d7e86e3d4a434

MD5: d3787939a5681cb6d6ac7c42cd9250b5

SHA-256: 9eb3783d3c73197458dc4200b75ce91ae6fb78d773289e94adaecd96730f65d9

MD5: bee08c4481babb4c0ac6b6bb1d03658e

SHA-256: d0c75e43928d7a5eee86490af5a133c8ad17b284b349fdddf3e2d3b35c401aa8

MD5: af9b021a1e339841cfdf65596408862d

SHA-256: 171bfd481a2e6afd8d409856460e90e8022efe30e2afc799de5760aa5f812e9c

MD5: aef6d31b3249218d24a7f3682a00aa10

SHA-256: 1395293c5663f77575587b06b4c877555a553895b82a67df36d2995591c19ccd

MD5: aec78c1ef489f3f4b621037113cbdf81

SHA-256: fdcf73f3ce11f614612998740c145c1226723e44acf426a1d39061c84687592c

MD5: ab1171752af289e9f85a918845859848

SHA-256: e05cf4398f7996fc96c2ded2544098730ae78666183eb98ed9a163e8f0eba018

MD5: a4ee41bd81dc3b842ddb2952d01f14ed

SHA-256: f9093510dda650e214fbf48060a645136053ab1525919ead95c63915be06931c

MD5: a0b7da124962b334f6c788c27beb46e3

SHA-256: 7c170097ded546d1bbd3d4550e26a4cb3e78629f37469b4c28a97a576be43c03

MD5: 961cd55b17485bfc8b17881d4a643ad8

SHA-256: 54edfd67a2ccc452733625885e2a77ed0463665f6bd3ac11360395a0ad6e1606

MD5: 92a271eb76a0db06c94688940bc4442b

SHA-256: 63bf85c27e048cf7f243177531b9f4b1a3cb679a41a6cc8964d6d195d869093e

MD5: 84f313426047112bce498aad97778d38

SHA-256: df19635adf3ae95927f848832d9aa2058f33f6fc6899c7fe04445e4892b3d044

MD5: 82607b68e061abb1d94f33a2e06b0d20

SHA-256: 41f81b9246f97b1a60e3c348e7659eb7fa191d3d4fa4032c4b4f432fd9d9b187

MD5: 80a79d0c9cbc3c5188b7a247907e7264

SHA-256: 5e762412e8cf8a22f16a384d9bde312d8ac2610804c422db90d226f1fb4197d7

MD5: 7a1369922cfb6d00df5f8dd33ffb9991

SHA-256: 5b6f4ba22efa0be45e97c57722ed1b9986742d35d7bb5a6730ff8b49fc626022

MD5: 7352c70b2f427ef4ff58128a428871d3

SHA-256: 2fcd6a4fd1215facea1fe1a503953e79b7a1cedc4d4320e6ab12461eb45dde30

MD5: 53c213b090784a0d413cb00c27af6100

SHA-256: abd2ce37c207b5d24fe39e56ca6688dda8ce63532400216a13e1735e49b03050

MD5: 3d768691d5cb4ae8943d8e57ea83cac1

SHA-256: 3c8a5062da56c98a9405d638d9ad2b6200a3e1a8f9f6744652ac1b6b0cbe0c3f

MD5: 35238d2a4626e7a1b89b13042f9390e9

SHA-256: 338fe8dc488962ca3a44c297cc457999be5ba61d4268e8289b8abd69893447e3

MD5: 328b032c5b1d8ad5cf57538a04fb02f2

SHA-256: fafb24d181a39a0a8ae4d2a3d16f2d68ed5c9a4dcaaab186e200f0682900f0df

MD5: 2eede45eb1fe65a95aefa45811904824

SHA-256: ba2278c74864e340eedf1137f617f786c94bd67d2c05a2d43e9ab7db4f13cb77

MD5: 1011b2cbe016d86c7849592a76b72853

SHA-256: e2d60a6a388bebd8409b694e5199b94151a572047c786e01dbb30cf272d073d4

MD5: 08fa99c70e90282d6bead3bb25c358dc

SHA-256: e74372a55051c2bbc0d776e3a97d6be0478169e4dd787cc0b6b721f4dea5a98f

MD5: 04746416d5767197f6ce02e894affcc7

SHA-256: a2513cc041851d60906d1a239374ebe91137b2ab5b73c90f051d9417df6a247a

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Gootkit Malware Continues to Evolve with New Components and Obfuscations
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​