s1138-gootloader - RunkIntel

# Gootloader > Tipo: **loader** · S1138 · [MITRE ATT&CK](https://attack.mitre.org/software/S1138) > [!abstract] Visão Geral > Loader JavaScript sofisticado operado por UNC2565 desde 2020, usando SEO poisoning em sites WordPress comprometidos para enganar vitimas que buscam documentos legais e contratos. Entrega Cobalt Strike, REvil ransomware e Gootkit como payloads finais. Evolução continua com tres versoes documentadas e mecanismo de anti-análise via verificação de idioma do sistema. ## Descrição [[s1138-gootloader|Gootloader]] e um framework de infecção baseado em JavaScript desenvolvido e operado pelo grupo [[unc2565|UNC2565]], ativo desde pelo menos 2020 como evolução do loader do banking trojan Gootkit. O nome "Gootloader" foi cunhado pela Sophos em 2021 para descrever esta camada de acesso inicial que opera de forma independente dos payloads que entrega. O modelo de negocio do [[s1138-gootloader|Gootloader]] e "Initial Access as a Service": o grupo mantem a infraestrutura de SEO poisoning e distribuição, entregando acesso a diferentes grupos de ameaça que pagam pelo servico. O vetor de distribuição e engenhoso: o [[s1138-gootloader|Gootloader]] compromete sites WordPress legitimos ([[t1584-006-web-services|T1584.006]]), injetando conteudo manipulado que ranqueia altamente em buscadores para termos específicos - tipicamente buscas por contratos, acordos de confidencialidade, modelos legais e documentos regulatorios. Quando a vitima clica no resultado e faz download do suposto documento ZIP, recebe um arquivo JavaScript ofuscado que e o loader. Esta técnica de SEO poisoning e altamente eficaz pois mira usuarios ativamente buscando documentos juridicos e financeiros ([[t1204-001-malicious-link|T1204.001]]). Após execução, o [[s1138-gootloader|Gootloader]] verifica o idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) para excluir paises de interesse (tipicamente Russia e paises vizinhos). Também realiza verificacoes de tempo ([[t1497-003-time-based-checks|T1497.003]]) para evadir análise em sandbox. O payload e desobfuscado em memoria ([[t1140-deobfuscatedecode-files-or-information|T1140]]) e injetado via process hollowing ([[t1055-012-process-hollowing|T1055.012]]) ou PE injection ([[t1055-002-portable-executable-injection|T1055.002]]). A persistência e mantida via chaves de registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e scripts PowerShell ([[t1059-001-powershell|T1059.001]]). **Plataformas:** Windows ## Como Funciona A vitima busca um documento legal no Google, clica em um resultado comprometido por SEO poisoning, e baixa um arquivo ZIP com um JavaScript mascarado como documento. Ao abrir o JS, o Gootloader executa, verifica idioma e ambiente, desobfusca o payload em memoria e injeta em processos do sistema, estabelecendo persistência e conectando ao C2 para receber a carga final (Cobalt Strike, REvil, Gootkit). ## Attack Flow ```mermaid graph TB A["🔍 SEO Poisoning WordPress comprometido Alto ranking para termos legais"] --> B["👤 Engenharia Social Vitima busca contrato/acordo Clica em resultado malicioso"] B --> C["📦 Download ZIP Arquivo JS ofuscado Disfarce de documento legal"] C --> D["🔎 Verificação de Ambiente Idioma do sistema Time-based anti-sandbox"] D --> E["💉 Execução em Memoria Desofuscação do payload PE/Process Hollow Injection"] E --> F["🔒 Persistência Registry Run Keys PowerShell scheduled task"] F --> G["🎯 Payload Final Cobalt Strike / REvil Gootkit banking trojan"] classDef social fill:#e67e22,stroke:#d35400,color:#fff classDef check fill:#7f8c8d,stroke:#626567,color:#fff classDef exec fill:#8e44ad,stroke:#6c3483,color:#fff classDef impact fill:#c0392b,stroke:#922b21,color:#fff class A,B social class C,D check class E,F exec class G impact ``` **Payloads entregues:** Cobalt Strike (pos-exploração), REvil ransomware, Gootkit banking trojan ## Timeline ```mermaid timeline title Gootloader - Evolução 2020 : Primeira versao documentada (v1.0) : SEO poisoning em WordPress comprometidos : UNC2565 identificado como operador 2021 : Sophos cunha o nome Gootloader : Versao 2.0 com maior ofuscacao : Expansao de payloads - REvil, Cobalt Strike 2022 : Campanha contra setor juridico/financeiro EUA : Gootloader v3.0 com PowerShell persistência 2023 : Infraestrutura resistente a takedowns : Alvos em setores farmaceutico e energia 2024 : Continua ativo com rotacao de dominios : Adotado por grupos de ransomware como IAB ``` ## Técnicas Utilizadas - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - link SEO-poisoned para download - [[t1584-006-web-services|T1584.006 - Web Services]] - sites WordPress comprometidos - [[t1584-001-domains|T1584.001 - Domains]] - dominios C2 registrados - [[t1059-007-javascript|T1059.007 - JavaScript]] - payload loader em JS - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - anti-análise por idioma - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - anti-sandbox por tempo - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - desofuscação em memoria - [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] - injecao de payload - [[t1055-002-portable-executable-injection|T1055.002 - Portable Executable Injection]] - PE injection - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - persistência - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução e persistência - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - perfil do sistema - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - rede do alvo - [[t1069-002-domain-groups|T1069.002 - Domain Groups]] - enumeracao de AD - [[t1614-system-location-discovery|T1614 - System Location Discovery]] - localização do alvo ## Relevância LATAM/Brasil O [[s1138-gootloader|Gootloader]] representa um risco específico para o setor juridico e financeiro brasileiro, onde profissionais frequentemente buscam modelos de contratos e documentos regulatorios em buscadores. Escritorios de advocacia, departamentos juridicos corporativos, contadores e funcionarios de compliance sao o perfil demografico exato visado pelo SEO poisoning. O setor juridico brasileiro - que busca regularmente modelos de contratos de acordo com LGPD, contratos de prestacao de servico e acordos de confidencialidade - e particularmente vulnerável a esta técnica. O fato de que o [[s1138-gootloader|Gootloader]] serve como Initial Access Broker para grupos de ransomware como [[s0496-revil|REvil]] torna infeccoes de Gootloader precursoras potenciais de ataques de ransomware devastadores. Organizacoes com acesso a dados sensiveis de clientes (financeiro, juridico, saúde) devem treinar funcionarios específicamente sobre riscos de download de documentos de fontes nao verificadas. ## Detecção - Monitorar execução de arquivos JavaScript (`.js`) pelo Windows Script Host (`wscript.exe`, `cscript.exe`) fora de ambientes de desenvolvimento - Detectar `wscript.exe` ou `cscript.exe` iniciando conexoes de rede para IPs externos - Alertar para criação de chaves de registro de persistência por processos de scripting - Monitorar powershell com encoding base64 iniciado por processos de scripting - Implementar AppLocker ou WDAC para bloquear execução de `.js` nao assinados por usuarios comuns - Bloquear execução de arquivos com dupla extensao (documento.pdf.js, contrato.docx.js) ## Referências - [1](https://attack.mitre.org/software/S1138) MITRE ATT&CK - S1138 Gootloader (2024) - [2](https://news.sophos.com/en-us/2021/03/01/gootloader-expands-its-payload-delivery-options/) Sophos - Gootloader Expands Payload Delivery Options (2021) - [3](https://www.mandiant.com/resources/blog/tracking-gootloader-infection-chain) Mandiant - Tracking the Gootloader Infection Chain (2022) - [4](https://unit42.paloaltonetworks.com/gootloader-for-initial-access/) Unit 42 - Gootloader for Initial Access (2023)