Outre les nouvelles techniques utilisées pour charger GootLoader, Cybereason a également observé le déploiement de cadres C2 supplémentaires, notamment Cobalt Strike et SystemBC, qui est généralement utilisé pour l’exfiltration de données.

Cybereason a également observé l’utilisation de techniques de SEO pour augmenter le référencement des pages infectées lors des recherches sur les navigateurs Internet.

Il est probable que plus les résultats des moteurs de recherche sont élevés, plus les victimes sont susceptibles de cliquer sur les liens.

L’équipe IR de Cybereason évalue le niveau de menace comme étant SÉVÈRE étant donné le potentiel des attaques.

–  GootLoader a pour objectif d’échapper aux règles de sécurité : L’équipe IR de Cybereason a observé des charges utiles volumineuses (40 Mo et plus) se faisant passer pour du code JavaScript légitime, afin d’échapper aux mécanismes de sécurité.
–  Acteur menaçant agressif : cet acteur de la menace a affiché des comportements rapides, se dirigeant rapidement vers le contrôle du réseau qu’il a infecté et obtenant des privilèges élevés en moins de 4 heures.
–  Déploiement de cadres C2 supplémentaires : L’équipe IR de Cybereason a observé le déploiement de cadres post-infection : Cobalt Strike et SystemBC, qui est généralement utilisé pour l’exfiltration de données.
–  Techniques de SEO Poisoning utilisées : augmentation du référencement (cf point indiqué plus haut en bullet point)
–  Activités post-exploitation détectées par Cybereason : La plateforme de défense de Cybereason génère des détections sur ces infections et actions de post-exploitation.
–  Ciblage des pays anglophones : GootLoader cible les entreprises des pays anglophones, principalement les États-Unis, le Royaume-Uni et l’Australie.
–  Ciblage par industrie : les attaques ont été plus importantes contre les organisations du secteur de la santé et de la finance.