Hét hónap szünet után ismét aktivizálódott a Gootloader nevű kártevőterjesztő platform, amely a korábbiaknál is kifinomultabb technikákkal próbálja kijátszani a védelmi rendszereket. A Gootloader alapvetően egy JavaScript-alapú malware loader, amely kompromittált vagy támadó által irányított weboldalakon keresztül fertőzi meg a felhasználókat, leggyakrabban SEO (search engine optimization) poisoning (keresőoptimalizálási manipuláció) segítségével.
A Gootloader célja, hogy a felhasználókat rávegye egy ártalmas JavaScript-fájl letöltésére (1. ábra). Ehhez a támadók különböző kulcsszavakra optimalizált weboldalakat hoznak létre, például jogi dokumentumok, szerződésminták vagy megállapodások keresési kifejezéseire (2. ábra).
A letöltött archívum valójában egy [.]js kiterjesztésű fájlt tartalmaz, például mutual_non_disclosure_agreement[.]js néven. A fertőzés akkor indul el, amikor a felhasználó megnyitja ezt a fájlt. A Gootloader ekkor további kártevőket tölt le a rendszerre, többek között Cobalt Strike-ot, backdoor-okat és botokat, amelyek segítségével a támadók kezdeti hozzáférést szerezhetnek a vállalati rendszerekhez.
Új Gootloader-technikák
A Huntress Labs kiberbiztonsági kutatói arról számolnak be, hogy a Gootloader az új kampányban ismét jogi dokumentumokat személyesít meg és új módszereket alkalmaz a biztonsági kutatók és automatizált elemzőrendszerek megtévesztésére (3. ábra). A támadók végső célja ugyanaz, rávenni az áldozatokat, hogy töltsenek le egy rosszindulatú ZIP-archívumot, amely tartalmaz egy JScript (.js) fájlt, amely kezdeti hozzáférést biztosít a további tevékenységekhez (általában zsarolóvírusok telepítéséhez).
A Huntress megállapította, hogy a kártevőt terjesztő weboldalakhoz hozzáadott JavaScript-tel a betűk alakját manipulálják. A HTML-forrásban értelmetlen karakterláncok láthatók, de a böngészőben megjelenített szöveg a módosított betűformák miatt olvasható, például az „Oa9Z±h•” valójában „Florida”-ként jelenik meg (4. ábra). Ez a módszer jelentősen megnehezíti a tartalomelemző eszközöknek a rosszindulatú weboldalak észlelését.
A kutatók egy másik fejlett technikát is felfedeztek, mégpedig a rosszul formázott ZIP-archívumok használatát. A Gootloader letöltőoldalai olyan ZIP-fájlokat kínálnak, amelyek eltérően viselkednek attól függően, milyen szoftverrel csomagolják ki őket (5. ábra). A Windows Explorer például egy ártalmas Review_Hearings_Manual_2025[.]js fájlt hoz létre, míg más eszközök (például 7-Zip, Python ZIP-modul vagy VirusTotal) csak egy ártalmatlan [.]txt fájlt látnak. Ez a megoldás megnehezíti az automatikus sandbox-rendszerek elemzését és észlelését.
A legújabb támadásokban a Gootloader a Supper SOCKS5 backdoor telepítésére is képes, amely távoli hozzáférést biztosít a fertőzött eszközökhöz. Ezt a hátsó ajtót egy ismert ransomware-csoport, a Vanilla Tempest használja, amely korábban olyan csoportokkal működött együtt, mint az INC, a BlackCat, a Quantum Locker, a Zeppelin vagy a Rhysida.
A Huntress kutatásai szerint a támadók mindössze 20 percen belül elkezdik a hálózati felderítést és akár 17 órán belül kompromittálhatják a tartományvezérlőt is.
A Gootloader újbóli megjelenése rávilágít arra, hogy a felhasználóknak kerülniük kell az ismeretlen forrásból származó dokumentumsablonok letöltését, különösen, ha az oldal nem megbízható.
