Escritórios de advogados atacados por campanhas de malware GootLoader e FakeUpdates

Duas campanhas lançadas

Os escritórios de advogados são um dos principais alvos dos cibercriminosos, por conseguirem obter acesso a informação sensível. De acordo com a empresa de cibersegurança eSentire, em janeiro e fevereiro de 2023, seis empresas de advocacia diferentes foram atacadas por duas campanhas distintas que injetaram o malware GootLoader e SocGholish. O ataque utilizou técnicas sofisticadas para infiltrar as redes e sistemas dos escritórios.

GootLoader é um programa de download (downloader) identificado pela primeira vez no final de 2020. Desde então, é utilizado para injetar uma variedade de payloads secundários, tais como o ransomware Cobalt Strike. O malware “envenena” o sistema de SEO (otimização para motores de pesquisa) para direcionar as vítimas que procuram por documentos relacionados com trabalho para websites de downloads drive-by, que injetam imediatamente o malware via JavaScript.

Na primeira campanha, os atacantes comprometeram websites valiosos baseados em WordPress para adicionar novas publicações em blogs com palavras-chave relacionadas com leis e advocacia. Os blogs infetados foram utilizados como chamariz para profissionais na área da advocacia, resultando num impulso nas suas classificações em motores de pesquisa. As vítimas foram então reencaminhadas para um website com um fórum falso, onde teriam que descarregar um suposto modelo para um acordo ou contrato, que era na verdade o GootLoader.

O malware SocGholish, também conhecido como FakeUpdates, foi utilizado pelos atacantes na segunda campanha direcionada a funcionários em escritórios de advogados e outros profissionais. Este malware permite que os atacantes obtenham informações e injetem outros payloads, tais como o ransomware Cobalt Strike e LockBit.

Os ataques utilizam domínios envenenados, incluindo um website de um notário em Miami que foi invadido e controlado pelos criminosos. O website hackeado serviu o vírus SocGholish em vez da notificação pop-up a recomendar uma atualização para o browser Google Chrome. Os operadores do SocGholish infetam um grande número de websites com menos tráfego para caçarem websites com imenso valor, como os de empresas de advocacia.

Obter informações sensíveis de clientes, pessoas e utilizadores é um objetivo atrativo para hackers e outros cibercriminosos. Estes tipos de campanhas com programas maliciosos para roubar informação são bastante comuns. Outros ataques a determinadas empresas como a Google ou redes sociais podem expor os dados dos utilizadores e promover vários tipos de fraude.

Foco na espionagem

Os ataques a escritórios de advogados com o malware GootLoader e SocGholish são preocupantes, pois são focados em operações de espionagem, em vez de lucro financeiro. Os atacantes não injetaram qualquer ransomware, preferindo um método mais proativo. Isso sugere diversificação no âmbito dos ataques para incluir operações de espionagem. Como foi salientado pelo investigador da eSentire:

Antes de 2021, o e-mail era o principal vetor de infeção utilizado por atacantes oportunistas. Entre 2021 e 2023, o número de ataques baseados em browsers continuaram a aumentar para competir com o e-mail pelo primeiro lugar na lista de principais vulnerabilidades.

Programas maliciosos como o GootLoader, SocGholish, SolarMarker, e campanhas recentes que utilizam o Google Ads para exibir conteúdo perigoso na primeira página dos motores de pesquisa são a principal causa para esta tendência preocupante.

Para além da potencial perda de dados sensíveis, escritórios de advogados e outras empresas atacadas por malware podem sofrer graves consequências legais. O GootLoader utiliza práticas de SEO fraudulentas para exibir uma página relevante em resultados de pesquisa no Google, colocando em perigo websites que necessitam de outros websites.

O problema é que este software de download altera websites para exibirem outros websites sempre que os utilizadores visitem a página original, alterando a experiência de algumas pessoas. Isto pode ser motivo para multas severas e aumenta o risco de tentativas de phishing, uma vez que o GootLoader envia utilizadores para uma página que pode ser usada como “armadilha” ou “isco” para pessoas menos atentas.

Medidas de prevenção a aplicar

Para impedir o GootLoader e outros ataques de malware, as empresas devem tomar certas medidas de prevenção, como evitar o download de plugins infetados, especialmente o plugin do próprio GootLoader.

A prevenção de desastres com o seu CMS e páginas web também inclui permanecer atento a sinais de alerta, como um ficheiro JavaScript a ser executado por Wscript e um ficheiro com o nome “agreement.js” (para utilizadores do website em inglês). Adicionalmente, as empresas também devem manter todo o seu software atualizado, utilizar o método de autenticação de dois fatores e implementar protocolos de segurança adequados.

Concluindo, os escritórios e empresas de advocacia devem permanecer vigilantes, devido ao aumento do número de ataques de malware. As campanhas do GootLoader e SocGholish demonstraram os potenciais perigos destas estirpes sofisticadas de malware.