Gootkit 恶意软件新攻击目标遍布全球

F5 的安全运营中心近来检测到 Gootkit 恶意软件开始在全球范围内入侵新领域。我们的最新调查追踪到它的攻击足迹遍布以色列、埃及、美国、加拿大、斯里兰卡和新西兰多个国家。该恶意软件基于 JavaScript，利用 Web 注入、记录操作以及独特的持久性机制通过受感染设备来窃取用户证书。与其他多数针对金融领域的木马不同，Gootkit 在对金融机构网站进行实际攻击前会提前使用视频录制功能做准备。这让诈骗犯有机会研究银行内部的金融交易流程，并寻找审批流程中的缺口。为了避免被检测到，恶意软件每隔一个小时便会以另一个文件名重写一次，同时删除上一版文件。

2016 年 2 月，F5 检测到了 Gootkit 恶意软件，并通过分析其配置发现了它的新攻击目标。

Gootkit 被认定为是类似Waldek的恶意软件，该银行木马首次于 2014 年 4 月左右在发现。

 

Gootkit 基于 JavaScript的恶意软件，在被感染的主机上，利用 Web 注入、操作记录以及独特的持久性机制窃取用户证书。

在这种特定配置中，Gootkit 会记录用户在与登录页面交互时的操作，录制的内容会通过电子邮件将这些记录发送给诈骗犯。

之前 "Proofpoint" 曾报道称，Gootkit 恶意软件已开始将目标范围扩大至其他地理区域，并预期它将继续保持这一趋势，现在我们可以看到其预测已成为现实。通过分析这种恶意软件的配置，我们注意到它正将目标瞄准欧洲金融机构，包括英国、法国、西班牙、意大利、德国、比利时、卢森堡、匈牙利、保加利亚和瑞士银行。

通过最新调查，我们发现 Gootkit 已开始在全球范围内检测新的区域，从中东地区，开始攻击以色列和埃及金融机构，现在它已将目标瞄准美国和加拿大银行，甚至还有斯里兰卡和新西兰银行。

与其他金融木马相同，Gootkit 在对金融机构网站进行实际攻击前会提前使用视频录制功能做准备。

这些录制视频不仅记录了用户与银行网站的交互，还包含若干选项，例如视频录制时间和帧数等。视频录制完成后，视频文件就会被上传到 C&C 服务器。

 

 

 

图 2 Gootkit 配置将目标瞄准通用“银行”名称

Gootkit 的流量模式很有趣，它使用端口 80 通过 HTTPS 进行通信。我们认为，它这样主要是为了欺骗一些较弱的防火墙规则。

Gootkit使用感染文件中的硬编码与不同的域之间进行通信。

 

 

 

图 3 Gootkit 通信点

 

为避免被检测到，恶意软件每隔一个小时便会以另一个文件名重写一次，同时删除上一版文件。

为了从重启中存活下来，它会在 \Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell 下的 HKEY_CURRENT_USER 注册表单元中添加 “Autorun” 注册表键，每当用户登录 Windows 账户时这个注册表键就会运行恶意文件。

MD5 示例：1002c739e6152d917335c6f46d15e8c5