Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

GootLoader се врати, користи нов трик со фонтови за да го сокрие малверот на WordPress сајтови

Објавено: 12.11.2025

Малверот познат како GootLoader повторно се појави по краток пораст на активноста во март оваа година, според новите наоди на Huntress.

Кибербезбедносната компанија изјави дека забележала три инфекции со GootLoader од 27 октомври 2025 година, од кои две резултирале со директни упади преку тастатура („hands-on keyboard intrusions“) и компромитирање на контролерот на доменот во рок од 17 часа по почетната инфекција.

GootLoader се врати и сега користи прилагодени WOFF2 фонтови со замена на глифови за да ги обфускира имињата на датотеките,“ изјави истражувачката за безбедност Анна Фам (Anna Pham), додавајќи дека малверот „експлоатира WordPress комент-ендпоинти за да испорачува XOR-шифрирани ZIP-пейлоади со уникатни клучеви за секоја датотека.

GootLoader, кој е поврзан со актер на закани следен под ознаката Hive0127 (познат и како UNC2565), е JavaScript-базиран малвер loader, кој често се дистрибуира преку тактики на SEO-тровење (search engine optimization poisoning) за испорака на дополнителни пейлоади, вклучувајќи и рансомвер.

Во извештај објавен минатиот септември, Microsoft откри дека акторот на закани наречен Vanilla Tempest добива пристап од GootLoader инфекции што ги создава друг актор – Storm-0494, искористувајќи го тој пристап за да инсталира бекдор наречен Supper (познат и како SocksShell или ZAPCAT), како и AnyDesk за далечински пристап. Овие ланци на напади довеле до распоредување на INC ransomware.

Вреди да се напомене дека Supper е исто така поврзан со Interlock RAT (познат и како NodeSnake) — уште еден малвер кој првенствено се поврзува со Interlock ransomware. „Иако нема директни докази дека Interlock го користи Supper, и Interlock и Vice Society биле поврзани со Rhysida во различни периоди, што укажува на можни преклопувања во поширокиот сајберкриминален екосистем,“ забележа Forescout минатиот месец.

Потоа, порано оваа година, беше откриено дека акторот зад GootLoader користел Google реклами за да ги таргетира жртвите кои бараат правни шаблони (како договори) на пребарувачите, пренасочувајќи ги кон компромитирани WordPress сајтови кои хостираат ZIP-архиви заразени со малвер.

Последната секвенца на напад документирана од Huntress покажува дека пребарувања за термини како „missouri cover utility easement roadway“ на Bing се користат за да ги насочат несвесните корисници кон доставување на ZIP-архивата. Она што е забележително овој пат е употребата на прилагоден веб-фонт за да се обфускираат имињата на датотеките прикажани во прелистувачот, со цел да се поразат методите за статичка анализа.

„Па, кога корисникот ќе се обиде да го копира името на датотеката или да го инспектира изворниот код — ќе види чудни карактери како ‛›μI€vSO₽*’Oaμ==€‚‚33O%33‚€×:O[TM€v3cwv,,‘“, објасни Фам.

„Сепак, кога ќе се рендерираат во прелистувачот на жртвата, истите тие карактери магично се претвораат во сосема читлив текст како Florida_HOA_Committee_Meeting_Guide.pdf. Ова се постигнува преку прилагоден WOFF2 фонт што GootLoader го вградува директно во JavaScript кодот на страницата користејќи Z85 енкодирање, варијанта на Base85 која го компресира 32KB фонтот во 40K.“

Исто така е забележан нов трик кој го модифицира ZIP-фајлот така што, кога ќе се отвори со алатки како VirusTotal, Python-овите ZIP-алатки или 7-Zip, тој се распакува како на изглед безопасен .TXT фајл. Во Windows File Explorer, архивата извлекува валиден JavaScript фајл, што е предвидениот пеилоад.

„Оваа едноставна техника за избегнување им дава на актерите време со тоа што ја сокрива вистинската природа на пейлоадот од автоматизираната анализа,“ рече еден истражувач за безбедност, кој долго време го следи малверот под псевдонимот „GootLoader“, за еволуцијата.

JavaScript-пејлоадот во архивата е дизајниран да го распоредува Supper, бекдор способен за далечинско управување и SOCKS5 прокси. Во најмалку еден случај, се вели дека акторите користеле Windows Remote Management (WinRM) за латерално движење кон Domain Controller и за креирање нов корисник со администраторски пристап.

„Supper SOCKS5 бекдорот користи заморна обфускација која ја штити едноставната функционалност — интензивни API повици, конструкција на shellcode за време на извршување и прилагодено шифрирање додаваат главоболки при анализа, но основните способности намерно остануваат базични: SOCKS прокси и далечински shell пристап,“ рече Huntress.

„Овој ‚доволно добар‘ пристап докажува дека акторите не требаат најсофистицирани експлойти кога правилно обфускирани стандардни алатки ги постигнуваат своите цели.“

Извори:

  • The Hacker News – GootLoader Is Back, Using a New Font Trick to Hide Malware on WordPress Sites The Hacker News