Allerta Gootloader, l'insolito malware che attacca gli studi legali

I ricercatori di SpiderLabs hanno svelato al mondo un nuovo e insolito malware chiamato Gootloader. L’agente malevolo presenta una strategia d’attacco particolare, andando a “corrompere” le SERP di Google e prendendo di mira gli studi legali e i loro potenziali clienti.

Il tutto avviene attraverso una particolare tecnica SEO, con il malware che sfrutta alcuni siti WordPress compromessi per diffondersi tra l’utenza. Manipolando i risultati dei motori di ricerca e attirando utenti ignari verso siti Web appositi, i ricercatori hanno affermato che Gootloader sfrutta la fiducia dei visitatori per distribuire payload dannosi.

Questa strategia, a detta dei ricercatori, riguarda al 50% studi legali, con la campagna che si concentra su keyword e siti in lingua inglese (anche se non mancano casi in francese, spagnolo, tedesco e persino coreano).

Gootloader sfrutta il posizionamento sui motori di ricerca per diffondersi efficacemente

Karl Sigler, senior security research manager della suddetta azienda ha sottolineato come “Trustwave SpiderLabs tiene traccia di Gootloader da un po’ di tempo e ha visto una varietà di campagne che utilizzano il malware first-stage loader“.

Sigler ha affermato che il malware è in qualche modo unico poiché sfrutta la promozione sui motori di ricerca dei siti Web dannosi. Questi, a loro volta, offrono modelli di contratto e altri file scaricabili per diffondere l’agente malevolo. Un sistema che appare molto più infido e raffinato rispetto alle classiche e-mail phishing.

Secondo Sigler “Questa tecnica bilancia il ritorno significativo di dati vari e casuali da attacchi opportunistici e dati specifici, ma di bassa quantità, da attacchi mirati“.

SpiderLabs ha raccolto diverse query di ricerca che portano ai siti Web compromessi e ha identificato le parole chiave utilizzate da questo gruppo di malware, rivelando un’attenzione predominante per le parole chiave SEO sui documenti legali, come “agreements” (ovvero accordi), “contracts” (contratti) e “forms” (moduli).

Anche se l’Italia non appare tra i paesi colpiti, non è detto che presto Gootloader (o un malware simile) non possa adottare strategie simili nel nostro paese.