GootLoader - это вредоносная программа с бэкдором и загрузчиком, которую ее операторы активно распространяют через поддельные сообщения на форумах. Она является вариантом вредоносной программы Gootkit, которая была обнаружена в 2014 году. GootLoader распространяется с помощью JavaScript-файлов и может передавать другие типы вредоносных программ, включая программы-вымогатели.
GootLoader
GootLoader распространяется через поддельные сообщения на форумах, и эта тактика используется операторами продолжительное время. Процесс заражения начинается с поддельной страницы форума, где пользователи могут скачать ZIP-архив, содержащий JavaScript-файл GootLoader. При двойном щелчке по этому файлу GootLoader устанавливается и активируется через запланированное задание. Затем он начинает отправлять веб-трафик на команду и контрольный сервер (C2).
Обнаружение GootLoader может быть затруднено, так как вредоносный код вплетается в легитимные библиотеки JavaScript. Одной из таких техник является использование бесконечных циклов, которые могут замедлить выполнение кода и скрыть настоящие намерения программы. Для улучшения обнаружения и анализа GootLoader, разработчики рекомендуют использовать песочницы, которые предоставляют контролируемую среду для анализа поведения вредоносных программ.
Indicators of Compromise
SHA256
- b939ec9447140804710f0ce2a7d33ec89f758ff8e7caab6ee38fe2446e3ac988
- c853d91501111a873a027bd3b9b4dab9dd940e89fcfec51efbb6f0db0ba6687b
