Six cabinets d’avocats différents ont été ciblés en janvier et février 2023 dans le cadre de deux campagnes de menaces disparates distribuant les souches de logiciels malveillants GootLoader et FakeUpdates (alias SocGholish).
GootLoader, actif depuis fin 2020, est un téléchargeur de première étape capable de fournir une large gamme de charges utiles secondaires telles que Cobalt Strike et des ransomwares.
Il utilise notamment l’empoisonnement de l’optimisation des moteurs de recherche (SEO) pour canaliser les victimes à la recherche de documents liés à l’entreprise vers des sites de téléchargement automatique qui abandonnent le malware JavaScript.
Dans la campagne détaillée par la société de cybersécurité eSentire, les acteurs de la menace auraient compromis des sites Web WordPress légitimes, mais vulnérables, et ajouté de nouveaux articles de blog à l’insu des propriétaires.
« Lorsque l’utilisateur de l’ordinateur accède à l’une de ces pages Web malveillantes et clique sur le lien pour télécharger le prétendu accord commercial, il télécharge sans le savoir GootLoader », a déclaré Keegan Keplinger, chercheur chez eSentire, en janvier 2022.
La divulgation d’eSentire est la dernière d’une vague d’attaques qui ont utilisé le chargeur de logiciels malveillants Gootkit pour violer des cibles.
GootLoader est loin d’être le seul malware JavaScript ciblant les professionnels et les employés des cabinets d’avocats. Un ensemble distinct d’attaques a également entraîné l’utilisation de SocGholish, qui est un téléchargeur capable de supprimer davantage d’exécutables.
La chaîne d’infection est en outre importante pour tirer parti d’un site Web fréquenté par des cabinets juridiques comme point d’eau pour distribuer le logiciel malveillant.
Un autre aspect remarquable des ensembles d’intrusions jumeaux en l’absence de déploiement de ransomwares, privilégiant plutôt les activités pratiques, suggère que les attaques auraient pu se diversifier pour inclure des opérations d’espionnage.
« Avant 2021, le courrier électronique était le principal vecteur d’infection utilisé par les acteurs de menaces opportunistes », a déclaré Keplinger. De 2021 à 2023, les attaques basées sur le navigateur […] n’ont cessé de croître pour concurrencer le courrier électronique en tant que principal vecteur d’infection. »
« Cela a été en grande partie grâce à GootLoader, SocGholish, SolarMarker et aux campagnes récentes utilisant Google Ads pour afficher les meilleurs résultats de recherche. »