Gootloader: tutto quello che c’è da sapere

La famiglia di malware Gootloader utilizza una forma particolare di ingegneria sociale per infettare i computer: i suoi creatori attirano le persone a visitare siti Web WordPress legittimi e compromessi utilizzando i risultati di ricerca di Google dirottati. Presentano ai visitatori di questi siti una bacheca online simulata e collegano al malware una “conversazione” simulata in cui un falso visitatore pone a un falso amministratore del sito l’esatta domanda a cui la vittima stava cercando una risposta.

Gran parte del processo di infezione è guidato da un codice che gira sul server WordPress compromesso e su un altro server che abbiamo precedentemente chiamato “ mothership” che orchestra una danza elaborata e complessa per produrre dinamicamente una pagina che apparentemente risponde alla domanda esatta che state ponendo. Gli operatori di Gootloader apportano modifiche dietro le quinte, quasi impercettibili, ai siti WordPress compromessi che fanno sì che questi ultimi carichino il contenuto extra dalla mothership.

Ogni aspetto di questo processo è offuscato a tal punto che persino i proprietari delle pagine WordPress compromesse spesso non sono in grado di identificare le modifiche nel proprio sito o di attivare il codice Gootloader quando visitano le proprie pagine. Allo stesso tempo, a meno che non si controlli uno dei siti WordPress colpiti, può essere molto difficile (se non impossibile) entrare in possesso di questo codice per studiarlo: Le voci modificate del database di WordPress e gli script PHP che compongono Gootloader risiedono solo sul server compromesso, dove i ricercatori di sicurezza normalmente non possono accedervi (a meno di un accesso fisico o di shell al server stesso).

In precedenza, Sophos X-Ops aveva già parlato di vari aspetti di Gootloader. Tuttavia, ha ricostruito il funzionamento delle operazioni lato server di Gootloader, utilizzando le briciole di pane e gli indizi lasciati sia dagli aggressori sia da altri ricercatori di sicurezza e pubblicati su Internet negli strumenti open-source. Abbiamo raccolto tutte queste informazioni in questo rapporto.

Continua a leggere l’articolo completo.