Posté le août 10, 2023 à 6:31
DES HACKERS DÉPLOIENT LE LOGICIEL MALVEILLANT GOOTLOADER POUR CIBLER LES CABINETS D’AVOCATS
Gootloader, une technique d’optimisation des moteurs de recherche (SEO), a été détectée lors de campagnes de piratage ciblant des termes de recherche liés au secteur juridique. Cette technique est considérée comme une menace pour les personnes et les cabinets d’avocats qui effectuent des recherches d’informations juridiques en ligne.
La technique du trou d’eau SEO Gootloader est une menace pour les cabinets d’avocats
SpiderLabs a révélé cet exploit de piratage dans un article de blog publié le 10 août. Le cabinet de recherche a déclaré que le logiciel malveillant Gootloader suscitait de l’intérêt parce qu’il était exploité sur des sites WordPress compromis pour diffuser des logiciels malveillants. Le logiciel malveillant utilisait également des techniques d’empoisonnement SEO pour se classer plus haut dans les moteurs de recherche.
Selon les chercheurs, le logiciel malveillant Gootloader manipule les résultats des moteurs de recherche et incite les utilisateurs à consulter des sites web compromis. Le logiciel malveillant manipule la confiance des gens dans les résultats des moteurs de recherche pour déployer des charges utiles malveillantes qui causent du tort aux victimes.
Les chercheurs de SpiderLabs ont par ailleurs indiqué que près de 50 % des cas signalés dans le cadre de ce logiciel malveillant ciblaient des cabinets d’avocats. La majorité des mots-clés utilisés dans ces sites web de premier plan sont en anglais. Toutefois, la campagne vise également l’Allemagne, la Corée du Sud, l’Espagne, le Portugal et le français.
Karl Sigler, responsable de la recherche en sécurité chez Spider Labs, a déclaré que SpiderLabs avait suivi le logiciel malveillant Gootloader et avait détecté de multiples campagnes l’utilisant, ce qui montre que l’étendue de la violation est massive.
Karl Sigler a en outre déclaré que le logiciel malveillant semblait unique car il combinait la promotion SEO de sites web malveillants pour attirer les victimes au lieu de mener des campagnes d’hameçonnage. Il a également indiqué que la technique de piratage cible des secteurs spécifiques, ce qui permet d’obtenir des volumes importants de données spécifiques.
« Cette technique permet d’équilibrer le retour important de données diverses et aléatoires provenant d’attaques opportunistes et les données spécifiques mais en faible quantité provenant d’attaques ciblées. En ciblant un secteur spécifique comme le secteur juridique avec ce type d’attaque, on obtiendra probablement un volume élevé d’un ensemble de données spécifique », a déclaré le chercheur en sécurité.
Selon SpiderLabs, cette campagne de piratage commence généralement par une recherche de documents relatifs à des accords de fourniture. Cette recherche conduit l’internaute vers des pages web WordPress compromises et infectées par le logiciel malveillant Gootloader.
SpiderLabs a ajouté qu’il avait recueilli de nombreuses requêtes de recherche menant aux sites web infectés. Les mots-clés SEO les plus populaires utilisés sur les documents juridiques contrôlés par les hackers sont contrats, accords et formulaires.
Les utilisateurs sont piégés par des liens de téléchargement malveillants
Lorsque les internautes visitent les sites compromis, les chercheurs indiquent qu’ils sont dirigés vers une fausse page de forum qui a adopté des tactiques d’ingénierie sociale. Le forum incite l’utilisateur à cliquer sur un lien de téléchargement du document qu’il recherche. Le lien de téléchargement redirige l’utilisateur vers une autre page web WordPress contrôlée par les hackers.
Les informations relatives au visiteur sont également vérifiées et, si les conditions requises sont remplies, un fichier ZIP est affiché et peut être téléchargé. Le nom de ce fichier ZIP est dérivé du mot-clé de recherche de l’utilisateur. Ce fichier ZIP contient un fichier .JS malveillant situé dans une bibliothèque JavaScript.
Les cabinets d’avocats sont souvent la cible de campagnes de piratage informatique en raison des données sensibles qu’ils traitent. Ces cabinets traitent généralement des informations sensibles telles que les fusions et acquisitions, les dossiers médicaux, la propriété intellectuelle, les fiducies et les successions, les informations fiscales, les données médicales et un large éventail d’autres documents.
Il est donc possible que le logiciel malveillant Gootloader ait ciblé les cabinets d’avocats en raison de la richesse des informations qu’ils hébergent. Le PDG de Conversant, John A. Smith, a déclaré que Gootloader était utilisé depuis fin 2020 pour déployer des ransomwares, des infostealers et des outils d’accès à distance.
Les cabinets d’avocats sont également vulnérables aux campagnes de ransomware car la plupart d’entre eux ne peuvent pas se permettre de perdre les données volées. Ces cabinets bâtissent généralement leur réputation sur la confiance de leurs clients. C’est pourquoi le paiement de la rançon est généralement la meilleure solution pour ceux qui sont visés par les campagnes de ransomware.
M. Smith a également indiqué que cette campagne de piratage repose en général sur le téléchargement de fichiers malveillants par les utilisateurs finaux. Dans ce cas, la formation de l’utilisateur final est toujours le meilleur moyen d’éviter ces campagnes de piratage.
M. Smith a fait remarquer que la formation des utilisateurs finaux constituait une stratégie de défense à plusieurs niveaux. Si l’équipe de cybersécurité de ces entreprises a utilisé des contrôles qui empêchent les utilisateurs de télécharger ces fichiers, les inspections de fichiers appropriées ont été activées au niveau des contrôles. Malgré les actions de l’utilisateur, il est possible que ces fichiers n’aient pas été téléchargés, ce qui met ces entreprises à l’abri des exploits malveillants
