Вредоносное программное обеспечение под названием GootLoader активно используется злоумышленниками для доставки дополнительных вредоносных программ на скомпрометированные устройства.
Как сообщает компания Cybereason в своём недавнем анализе, обновления GootLoader привели к появлению сразу нескольких вариаций вредоноса, причём в настоящее время активно используется GootLoader 3. Несмотря на изменения в деталях, стратегии заражения и общая функциональность вредоноса остаются схожими с началом его активности в 2020 году.
Сам по себе GootLoader представляет из себя загрузчик вредоносных программ и является частью банковского трояна Gootkit. Он тесно связан с группировкой Hive0127 (также известной как UNC2565). Это ПО использует JavaScript для загрузки инструментов постэксплуатации и распространяется благодаря использованию метода “отравления поисковой выдачи” (SEO Poisoning).
Зачастую GootLoader используется для доставки различных вредоносных программ, таких как Cobalt Strike, Gootkit, IcedID, Kronos, REvil и SystemBC. В последние месяцы злоумышленники, стоящие за GootLoader, также выпустили свой собственный инструмент командного управления и бокового перемещения под названием GootBot, что свидетельствует о расширении их деятельности для получения большей финансовой выгоды.
Цепочки атак включают компрометацию веб-сайтов для размещения вредоносного JavaScript-кода GootLoader под видом легальных документов и соглашений. При запуске таких файлов в Windows создаётся запланированная задача для поддержания постоянства заражения, а также выполняется дополнительный PowerShell-скрипт, собирающий информацию о системе и ожидающий дальнейших инструкций.
Полная схема атаки с использованием GootLoader
Исследователи по безопасности из Cybereason отмечают, что вредоносные сайты, хранящие архивные файлы, используемые для заражения, применяют SEO-методы для привлечения жертв, ищущих деловые файлы, такие как шаблоны контрактов или юридические документы.
Атаки также примечательны использованием методов кодирования исходного кода, обфускации потока управления и увеличения размера полезной нагрузки для противодействия анализу и обнаружению. Ещё одной интересной техникой является встраивание вредоносного ПО в легитимные файлы JavaScript-библиотек, такие как jQuery, Lodash, Maplace.js и tui-chart.
Исследователи утверждают, что с учётом последних обновлений GootLoader стал более скрытным и уклончивым, а значит представляет сейчас куда большую опасность, чем представлял ранее. Для защиты от подобных киберугроз критически важно регулярно обновлять программное обеспечение, использовать надёжные антивирусные решения, проявлять осторожность при открытии файлов из непроверенных источников.