تم استهداف ست شركات قانونية مختلفة في يناير وفبراير 2023 كجزء من حملتين منفصلتين للتهديد توزعان سلالات البرامج الضارة GootLoader و FakeUpdates (المعروفة أيضًا باسم SocGholish).
نشط منذ أواخر عام 2020، GootLoader هو برنامج تنزيل في المرحلة الأولى قادر على تقديم مجموعة واسعة من الحمولات الثانوية، مثل Cobalt Strike و ransomware.
يستخدم على وجه التحديد تسمم مُحسّنات محرّكات البحث لتوجيه الضحايا الذين يبحثون عن مستندات متعلقة بالعمل لتنزيل المواقع التي تقدم برامج ضارة JavaScript.
في الحملة التي تم تفصيلها من قبل شركة الأمن السيبراني eSentire، يُقال إن الجهات الفاعلة في مجال التهديد قد اخترقت مواقع WordPress المشروعة ولكن الضعيفة وأضافت منشورات مدونة جديدة دون علم المالك.
قال الباحث في eSentire Keegan Keplinger في يناير 2022 أنه عندما يزور مستخدمو الكمبيوتر إحدى صفحات الويب الضارة وينقرون على رابط لتنزيل اتفاقية تجارية مزعومة، فإنهم ينزلون GootLoader عن غير قصد.
يعد اكتشاف eSentire هو الأحدث في موجة الهجمات باستخدام أداة تحميل البرامج الضارة Gootkit لاختراق الأهداف.
GootLoader ليس برنامج JavaScript الضار الوحيد الذي يستهدف محترفي الأعمال وموظفي مكتب المحاماة. تضمنت المجموعة الثانية من الهجمات أيضًا استخدام SocGholish، وهي أداة تنزيل قادرة على إسقاط المزيد من الملفات القابلة للتنفيذ.
تعد سلاسل العدوى مهمة أيضًا لاستغلال مواقع الويب التي ترتادها شركات شرعية كثقوب سقي لتوزيع البرامج الضارة تحت ستار تحديثات المتصفح المزيفة.
جانب آخر جدير بالملاحظة في مجموعة القرصنة المزدوجة هو أنها لم تنشر برامج الفدية، لكنها فضلت نشاطًا حقيقيًا، مما يشير إلى أن نطاق الهجوم قد يختلف، بما في ذلك التجسس.
قال كيبلينجر إنه حتى عام 2021، فإن البريد الإلكتروني هو ناقل العدوى الأساسي الذي تستخدمه جهات التهديد الانتهازية. من 2021 إلى 2023، ستزداد الهجمات المستندة إلى المستعرض [...] بشكل مطرد للتنافس مع البريد الإلكتروني باعتباره ناقل العدوى الأساسي.