O malware Gootloader ressurge em uma nova campanha que une técnicas tradicionais de engenharia social com métodos modernos de entrega. A ameaça digital tem se disseminado por meio de anúncios do Google, mirando especialmente usuários que procuram modelos de documentos legais, como contratos de locação e acordos de confidencialidade (NDAs). Essa abordagem representa um novo patamar de sofisticação na distribuição de malwares, demonstrando como agentes maliciosos continuam a explorar brechas em plataformas amplamente confiadas pelo público.
A nova face do Gootloader
O Gootloader já é conhecido por utilizar técnicas de SEO envenenado para ranquear sites comprometidos nos motores de busca e enganar usuários. No entanto, a campanha atual marca uma mudança relevante na estratégia dos cibercriminosos. Em vez de confiar exclusivamente em sites WordPress vulneráveis, os responsáveis pela campanha estão promovendo páginas falsas com aparência profissional, hospedadas em domínios como “lawliner[.]com”.
Esses sites fraudulentos são promovidos via Google Ads, o que aumenta significativamente a sua visibilidade e eficácia. O anúncio aparece nos primeiros resultados de busca quando usuários procuram termos como “modelo de acordo de confidencialidade”. A vítima, ao clicar no link patrocinado, é levada a uma página que simula uma plataforma legítima de compartilhamento de documentos.
Processo de infecção por trás dos anúncios maliciosos
O processo é engenhoso e se desenvolve em etapas cuidadosamente planejadas. Ao acessar o site falso, o usuário é instruído a fornecer um e-mail para receber o suposto documento. Pouco tempo depois, um e-mail é enviado pelo endereço “lawyer@skhm[.]org” com um link de download. Esse link conduz a um arquivo compactado (ZIP), que contém um script JavaScript disfarçado de documento legal.
Esse arquivo, ao ser executado, dá início à cadeia de infecção do Gootloader. Primeiramente, ele cria uma tarefa agendada no sistema da vítima para garantir persistência. Em seguida, instala outro script malicioso na pasta %AppData%\Roaming, que utiliza comandos PowerShell para se comunicar com blogs WordPress, alguns comprometidos e outros criados especificamente para a campanha.
Esse tráfego é usado para baixar cargas adicionais ou estabelecer conexões com servidores de comando e controle (C2). O uso de sites legítimos como vetor torna mais difícil para soluções de segurança identificar a ameaça de imediato.
Técnicas avançadas de evasão e persistência
O malware Gootloader se destaca por seu nível elevado de sofisticação técnica. Ele emprega ofuscação intensa, codificação de scripts e inchaço proposital do tamanho do arquivo para dificultar a análise forense e evitar a detecção por antivírus. Muitas vezes, os códigos maliciosos são embutidos em bibliotecas populares, como jQuery e Lodash, dificultando a identificação do comportamento anômalo.
Além disso, o Gootloader tem arquitetura modular, permitindo que os atacantes personalizem as cargas entregues, de acordo com os objetivos da campanha. As cargas adicionais podem incluir ransomware, trojans bancários como Kronos ou ferramentas de pós-exploração, como Cobalt Strike. Essa modularidade aumenta a flexibilidade do malware, tornando-o ainda mais perigoso para organizações de diversos setores.
Impactos para empresas e recomendações de segurança
A disseminação do Gootloader por meio de Google Ads representa um alerta para empresas e usuários comuns. O uso de temas legais como isca aumenta a taxa de sucesso da campanha, já que documentos como NDAs e contratos são comumente buscados por profissionais e departamentos jurídicos.
Para mitigar os riscos, especialistas em segurança cibernética recomendam o bloqueio imediato de domínios associados à campanha, como “lawliner[.]com” e “skhm[.]org”, tanto em gateways de e-mail quanto de navegação. Além disso, é essencial revisar logs históricos em busca de acessos a esses domínios.
Outra recomendação importante é o uso de soluções robustas de proteção de endpoint, capazes de detectar comportamentos suspeitos, mesmo quando mascarados por bibliotecas legítimas. A detecção de scripts ofuscados e a análise de tráfego anômalo são pontos-chave na prevenção de infecções.
Educação e conscientização continuam sendo ferramentas indispensáveis
Uma das formas mais eficazes de combater ameaças como o malware Gootloader é por meio da educação dos usuários. Treinamentos sobre os perigos de clicar em anúncios suspeitos, mesmo quando exibidos em mecanismos confiáveis, devem ser frequentes em ambientes corporativos. Orientar colaboradores a evitar downloads de fontes não verificadas também é fundamental.
O uso de documentos maliciosos disfarçados de arquivos legítimos está se tornando uma tática cada vez mais comum entre cibercriminosos. Portanto, identificar comportamentos fora do padrão e manter ferramentas de segurança atualizadas são medidas indispensáveis para a proteção de dados sensíveis.
A recente campanha do Gootloader evidencia uma tendência preocupante: o uso de plataformas legítimas como o Google Ads para veicular conteúdos maliciosos. Essa tática aumenta a eficiência dos ataques e desafia os métodos tradicionais de detecção.
A segurança digital deve acompanhar essa evolução, adotando uma abordagem proativa e adaptável às novas ameaças. Monitoramento contínuo, bloqueio de domínios maliciosos e conscientização dos usuários são pilares essenciais para evitar que malwares sofisticados comprometam sistemas e dados corporativos.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
