Специалисты Gen Threat Labs в новом отчёте подробно описали активность вредоносного загрузчика GoFlateLoader, написанного на языке Go. Этот загрузчик распространяет по меньшей мере шесть различных типов программ-похитителей данных, включая Amatera, Remus, Lumma, Vidar, StealC и SvitStealer. Главная особенность угрозы - не техническая сложность, а намеренное раздувание собственного размера до 700-950 мегабайт. Такой трюк позволяет обходить системы автоматической проверки файлов, которые часто ограничивают анализ для очень больших объектов.
Описание
GoFlateLoader представляет собой относительно простую программу. Её единственная задача - извлечь полезную нагрузку из своего тела и выполнить её в оперативной памяти, не записывая на диск. Никаких сложных приёмов против отладки, эмуляции или виртуальных машин в нём нет. Отсутствуют даже базовые методы защиты вроде хеширования API или запутывания графа потока управления. Вместо этого авторы сделали ставку на размер: к исходному исполняемому файлу добавляется массивный PE-оверлей - кусок данных, который присоединяется после основных секций. Большую часть этого оверлея составляют нулевые байты, хотя встречаются и варианты со случайным мусором.
Почему такой простой метод работает? Антивирусные решения и системы обнаружения на конечных точках (EDR) вынуждены балансировать между глубиной анализа и производительностью. Сканирование файлов размером почти в гигабайт требует значительных ресурсов процессора и памяти, что может замедлить работу пользователя. Поэтому многие продукты устанавливают пороговые значения: файлы свыше определённого объёма либо вообще не проверяются, либо подвергаются только поверхностному анализу. Кроме того, автоматические песочницы и платформы для анализа угроз, такие как VirusTotal, ограничивают размер загружаемых образов - у VirusTotal этот лимит составляет 650 мегабайт. GoFlateLoader целенаправленно раздувается до объёмов чуть выше этого порога, чтобы его невозможно было загрузить и проанализировать в облаке.
Для злоумышленников такой подход практически не увеличивает затраты на распространение. Огромный файл, заполненный нулями, отлично сжимается архиваторами - в обычный ZIP или RAR он умещается в несколько мегабайт. Этим авторы активно пользуются. Как выяснили исследователи, существуют как минимум два основных способа доставки GoFlateLoader. Первый - через поддельные версии "взломанных" программ, которые пользователи скачивают с торрентов или сомнительных сайтов. Второй - с помощью вредоносной системы перенаправления трафика (TDS), недавно описанной в работе Check Point Research. В этом случае пользователь переходит на специально подготовленную страницу, где ему предлагают скачать архив, защищённый паролем, а сам пароль отображается прямо на той же странице. Такой приём затрудняет работу антивирусной защиты: сканер не может автоматически открыть зашифрованный архив и проверить его содержимое. Только после того, как жертва вручную введёт пароль и распакует файл, вредоносная программа оказывается на диске.
Сам загрузчик существует в двух вариантах - для 32-битной и 64-битной архитектуры, каждый рассчитан на соответствующую разрядность конечной нагрузки. Процесс загрузки выглядит предсказуемо: из секции .rdata копируется зашифрованный блок данных, он декодируется с помощью многоступенчатого преобразования на уровне отдельных байтов, после чего полученный PE-файл загружается в память вручную. Загрузчик выделяет область памяти с правами на чтение, запись и выполнение (RWX), разбирает секции заголовка, разрешает зависимости через LoadLibrary и GetProcAddress, а затем передаёт управление на точку входа payload через вызов syscall.Syscall. Примечательно, что этот вызов используется не как настоящий системный вызов, а просто как универсальный шлюз для перехода на код полезной нагрузки. В качестве аргументов передаются фиктивные числа 1, 2, 3, 4 - этот паттерн, по мнению исследователей, может служить сигнатурой для обнаружения.
С апреля 2026 года продукты Gen заблокировали GoFlateLoader для более чем 33 тысяч уникальных пользователей. Наиболее пострадавшие страны - Бразилия, Индия, Аргентина, Мексика, Турция и Испания. Россия в списке не упомянута, но это не означает, что угроза её не затрагивает. Просто статистика собрана по базе пользователей Gen, которая может иметь региональный перекос.
Вывод из этого исследования не столько технический, сколько тактический. GoFlateLoader напоминает, что успешность вредоносного ПО не всегда определяется изощрённостью кода. Иногда достаточно одного простого приёма - сделать файл слишком большим для проверки. Это работает против большинства автоматических средств защиты, ориентированных на производительность. Пользователям стоит быть особенно осторожными при скачивании программ из непроверенных источников, даже если они запакованы в архив с паролем. Для корпоративных сред актуально настроить системы защиты таким образом, чтобы они не пропускали крайне большие исполняемые файлы из интернета без дополнительного анализа, и обязательно внедрить политики, запрещающие установку нелицензионного ПО.
Индикаторы компрометации
SHA256
- 121c2dc793b3873f75a29ec02241f94136de19c049382a50a50d0d5b99507073
- 2415db5081cec9bfd14ad6da1a66169fd96f13a49010c319a73d1ed6fafd4efa
- 421ce2d2f49c23bbe9f60ef3b9cd38d7eb912ce02e56a61837656210069bd9e2
- 4cf6893756f441522b94b36f10e5de0e47aeed4743f95c51650746d1ecf97e3d
- 841c9297cb8a2e0ff89433d13c05bfc760eb2e98e251cb8fa785d2ad7cbac05f
- 8b89d6c9152d3aab97aadd515ecb69ca72654db2f25425759ba4b646853d737d
- 90ce4ff9da23ac150da0a8e17930cab1e369aa349fdc1b65691b70369145664a
- b88c5744975d2abb447aecc6c090fee9f8580413f4612eecdc6ed1973e8a1739
- d9917ade3b4c125a95b5d3e6343cde26145dfbf569bd7e2a843fd0c6fc8ddc28
- ece7c48eb411b24f26762ede83badb4a644c41d5777129381ac2541804d64fc2
- ed5ae7f36453c5a23e9868a5729d67e0549a11f6dea54f5f52d654a8f51d4902