GootLoader détourne les sites WordPress pour inciter les professionnels à télécharger des exemples de modèles de contrat malveillants.

Autrefois diffuseurs prolifiques du rançongiciel REvil, le gang de logiciels malveillants GootLoader a commencé à cibler activement les employés des cabinets d’avocats et de la comptabilité avec des téléchargements malveillants.

L’unité de réponse aux menaces d’ESentire a émis une alerte pour avoir observé des attaques GootLoader contre trois cabinets d’avocats et un cabinet comptable au cours des trois dernières semaines.

Les vulnérabilités de WordPress permettent aux attaquants de détourner facilement des sites proposant des exemples d’accords commerciaux pour les professionnels, explique le rapport eSentire. Les chercheurs ont pu identifier plus de 100 000 pages contenant des liens vers des accords commerciaux malveillants mis en place par GootLoader, avec un site contenant plus de 150 pages de contenu généré par des acteurs malveillants.

Selon le rapport, les employés des cabinets d’avocats trompés par les accords malveillants recherchaient des documents juridiques communs, notamment « l’accord post-mariage », le modèle d’accord sur la propriété intellectuelle « et » l’accord de plaidoyer Olympus « .

« Lorsque l’utilisateur de l’ordinateur accède à l’une de ces pages Web malveillantes et appuie sur le lien pour télécharger l’accord commercial présumé, il télécharge sans le savoir GootLoader », a déclaré Keegan Keplinger, responsable de la recherche et des rapports pour TRU. « Par conséquent, à moins que votre organisation n’ait mis en place des protections de sécurité, votre organisation est susceptible d’être infectée par GootLoader, ce qui pourrait conduire à la distribution de ransomwares, puis le jeu est terminé. »

Après la chute de la cérémonie, après le r, après le gee Seo

Le groupe a également utilisé l’algorithme d’optimisation des moteurs de recherche de Google pour placer ses sites malveillants et ses téléchargements en tête des résultats de recherche par mots clés, ont constaté les analystes. Voir l'article : The Avengers était le tout début des « films Marvel » tels que nous les connaissons.

Une fois téléchargé, GootLoader installe un rançongiciel ou Cobalt Strike, selon l’équipe eSentire TRU.

Le meilleur moyen pour les cabinets comptables et juridiques de sécuriser leurs systèmes est d’empêcher les employés de télécharger des fichiers à partir du Web, ajoute le rapport.

Les cabinets d’avocats et les cabinets comptables sont des cibles de choix pour les cyber-attaquants qui cherchent à tirer parti des banques et d’autres données hautement sensibles.

En juillet dernier, le cabinet d’avocats américain Campbell Conroy & amp; O’Neil, PC – représentant des sociétés telles qu’Apple, Boeing, Exxon-Mobil, IBM et plusieurs autres sociétés du Fortune 500 – a été touché par une attaque de ransomware.

Et le rapport eSentire souligne la longue et illustre expérience du gang de cybercriminalité financière FIN7, qui n’a utilisé qu’en juillet dernier une fausse plainte légale pour violer la société d’alcool Brown-Forman.

« Toutes les organisations, pas seulement les cabinets d’avocats et les cabinets comptables, devraient disposer d’un processus de vérification des échantillons d’accords commerciaux, collectés sur Internet, pour s’assurer qu’ils ne sont pas infectés par des logiciels malveillants », a conseillé Keplinger. « Les employés doivent également savoir que GootLoader vient sous forme de fichier JavaScript (.js). Bien qu’il soit souvent déguisé en document, un clic droit sur le fichier téléchargé et un clic sur Propriétés afficheront le type de fichier réel. Chaque fois que vous téléchargez des documents à partir du Web, des fichiers de script tels que .js, .ps1 et .cmd ne doivent jamais être exécutés. « 

Réinitialisation du mot de passe : Événement à la demande : Fortify 2022 avec une stratégie de sécurité par mot de passe conçue pour les menaces d’aujourd’hui. Cette table ronde sur la sécurité Threatpost, créée pour les professionnels de l’infosec, se concentre sur la gestion des informations d’identification d’entreprise, les nouvelles bases de mots de passe et l’atténuation des violations post-identification. Rejoignez Darren James, avec Specops Software et Roger Grimes, évangéliste de la défense KnowBe4 et présentatrice Threatpost Becky Bracken. Inscrivez-vous & amp; diffusez cette session GRATUITE aujourd’hui – sponsorisée par Specops Software.

Ceci pourrait vous intéresser