Malware-ot Gootloader се враќа со нови трикови по 7-месечна пауза

Операцијата на Gootloader, malware loader, се врати по 7-месечно отсуство и повторно користи SEO отров за да промовира лажни веб-страници кои дистрибуираат malware.

Gootloader е malware loader базиран на JavaScript, распространет преку компромитирани или од напаѓачи контролирани веб-страници, и се користи за измама на корисници да симнат злонамерни документи.

Веб-страниците се промовираат во пребарувачите или преку реклами, или преку оптимизација за пребарувачи (SEO poisoning), што ја рангира веб-страницата повисоко во резултатите за одредена клучна збор, како што се правни документи и договори.

Во минатото, овие веб-страници прикажуваа лажни форуми кои претендираа дека дискутираат за прашањата на корисниците, со некои објави кои препорачуваа (злонамерни) шаблони на документи кои можеле да се симнат. Подоцна, SEO кампањите се префрлија на веб-страници кои претендираат дека нудат бесплатни шаблони за различни правни документи.

Кога посетителот ќе кликнеше на копчето „Get Document“, страницата проверуваше дали тој е легитимен корисник и, ако е, симнуваше архив со злонамерен документ со екстензија .js. На пример, архивот можеше да вклучува датотека наречена mutual_non_disclosure_agreement.js.

Gootloader се извршуваше при отворање на документот и симнуваше дополнителни malware пакети на уредот, вклучувајќи Cobalt Strike, backdoors и bots кои обезбедуваа почетен пристап до корпоративни мрежи. Потоа, други напаѓачи го користеа овој пристап за да имплементираат ransomware или да извршуваат други напади.

Gootloader се враќа

Еден истражувач во областа на сајбер-безбедноста, кој делува под псевдонимот „Gootloader“, години наназад ја следел и активно ја нарушувал операцијата на овој malware со поднесување пријави за злоупотреба до интернет-провајдери (ISP) и хостинг-платформи за да ги отстранат инфраструктурите контролирани од напаѓачите.

Истражувачот кажа за BleepingComputer дека неговите активности довеле до изненадно прекинување на операцијата на Gootloader на 31 март 2025 година.

Истражувачот заедно со Anna Pham од Huntress Labs сега известуваат дека Gootloader се враќа во нова кампања што повторно се претставува како правни документи.

„Во оваа најнова кампања, набљудувавме илјадници уникатни клучни зборови распоредени на преку 100 веб-страници,“ стои во новиот блог-пост на истражувачот за Gootloader. „Крајната цел останува иста: да ги увери жртвите да симнат злонамерен ZIP архив што содржи JScript (.JS) датотека која воспоставува почетен пристап за понатамошни активности — обично што доведува до распоредување на ransomware.“

Сепак, истражувачите велат дека оваа нова варијанта користи неколку техники за да избегне автоматизирани алатки за анализа и истражувачи за безбедност. Huntress откри дека JavaScript-от додаден на злонамерните веб-страници ги крие вистинските имиња на датотеки со користење на посебен веб-фонт кој ги заменува буквите со слични симболи.

Во HTML изворот, се гледа бесмислен текст, но кога страницата се прикажува, заменетите облици на фонтовите покажуваат нормални зборови, што го отежнува за безбедносниот софтвер и истражувачите да најдат клучни зборови како „invoice“ или „contract“ во изворниот код.

„Наместо да користи OpenType функции за замена или табели за мапирање на карактери, loader-от ја заменува стварната прикажана форма на секој глиф. Мета-податоците на фонтот изгледаат сосема легитимно — карактерот „O“ е мапиран на глиф наречен „O“, карактерот „a“ е мапиран на глиф наречен „a“ и така натаму,“ објаснува Huntress.

„Сепак, вистинските векторски патеки кои ги дефинираат овие глифови се заменети. Кога прелистувачот бара облик за глиф „O“, фонтот дава векторски координати кои ја цртаат буквата „F“. Слично, „a“ црта „l“, „9“ црта „o“, а специјалните Unicode карактери како „±“ цртаат „i“. Бесмислениот низ Oa9Z±h• во изворниот код се прикажува како „Florida“ на екранот.“

Истражувачите од DFIR Report исто така открија дека Gootloader користи погрешно форматирани Zip архиви за дистрибуција на Gootloader скрипти од веб-страници контролирани од напаѓачи.

Овие архиви се создадени така што кога симнатиот ZIP фајл ќе се екстрахира со Windows Explorer, се извлекува злонамерниот JavaScript фајл Review_Hearings_Manual_2025.js.

Сепак, истата архивска датотека, кога ќе се екстрахира со VirusTotal, Python zip алатки или 7-Zip, ќе извлече безопасен текстуален фајл наречен Review_Hearings_Manual_202.txt.

Како што се гледа на сликата од 010 Editor, архивата содржи и двајца фајлови, но е погрешно форматирана, што предизвикува различно извлекување во зависност од алатката која се користи.

Сè уште не е јасно дали ова е истиот трик со конкатенација опишан во 2024 година или дали користат нова техника за да наметнат на Windows да го извлече JS фајлот.

Конечно, кампањата испушта Supper SOCKS5 backdoor на уредите, кој се користи за добивање далечински пристап до мрежата.

Supper backdoor е malware кој обезбедува далечински пристап до инфицираните уреди и е познат дека го користи ransomware соработник следен како Vanilla Tempest.

Овој напаѓач има долга историја на извршување ransomware напади и се смета дека бил соработник на Inc, BlackCat, Quantum Locker, Zeppelin и Rhysida. Во нападите забележани од Huntress, напаѓачот постапувал брзо откако уредот бил инфициран, извршувајќи разузнавање во рок од 20 минути и на крајот компромитирајќи го Domain Controller во рок од 17 часа.

Со враќањето на Gootloader во операција, потрошувачите и корпоративните корисници треба да бидат внимателни при пребарување и симнување правни договори и шаблони од интернет.

Доколку веб-страницата не е позната по нудење вакви типови на шаблони, треба да се третира со сомнеж и да се избегнува.

Извори:

• Bleeping Computer – „Gootloader malware is back with new tricks after 7-month break“ Bleeping Computer