Киберпреступники возродили опасную кампанию Gootloader с новыми методами обхода защиты

Gootloader продолжает свою пятилетнюю историю использования юридической тематики в качестве приманки. Злоумышленники создали более 100 веб-сайтов с тысячами уникальных ключевых слов, связанных с договорами, формами и соглашениями. Основная цель остается прежней - заставить жертв загрузить вредоносный ZIP-архив, содержащий JScript файл, который обеспечивает первоначальный доступ для последующей активности, обычно ведущей к развертыванию программ-шифровальщиков.

Новым элементом в арсенале преступников стала усовершенствованная техника маскировки ZIP-архивов. Архив сконфигурирован таким образом, что при открытии в проводнике Windows извлекается валидный JS-файл с полезной нагрузкой, тогда как инструменты анализа вроде VirusTotal, утилиты Python для работы с ZIP или 7-Zip показывают безобидный TXT-файл. Этот простой, но эффективный метод уклонения от обнаружения дает злоумышленникам дополнительное время, скрывая истинную природу payload от автоматического анализа.

Существенные изменения претерпел и механизм persistence. Вместо ранее использовавшихся планировщика Gootloader теперь применяет более сложную схему. Первоначальный скрипт создает два LNK-файла, один из которых помещается в папку автозагрузки пользователя, обеспечивая постоянное присутствие. Этот ярлык указывает на второй LNK в директории AppData, который, в свою очередь, запускает вторичный JS-файл, сброшенный во время первого выполнения. Дополнительной особенностью стало создание пользовательской комбинации горячих клавиш Ctrl + Alt + [буква], которая может вручную активировать вторичный ярлык. При первоначальном заражении malware самостоятельно имитирует эти нажатия клавиш для запуска выполнения.

Сохранилась характерная для Gootloader система фильтрации контента, предназначенная для обмана как исследователей, так и поисковых систем. Пользователи, не прошедшие фильтры злоумышленников - которые, вероятно, включают определение англоязычных стран, использование Windows, переходы из поисковых систем и активность в рабочее время - видят безвредную запись в блоге, связанную с их поисковым запросом, часто созданную с помощью ChatGPT или аналогичных инструментов искусственного интеллекта.

Те же, кто соответствует критериям отбора, наблюдают перерисовку страницы во что-то, выглядящее убедительно легитимным. Например, может отображаться ресурс под названием «Tһе Υаle Law Jοurnаl», где используется кириллическая буква «һ» вместо латинской «h». После перерисовки страница предлагает различные «ресурсы» - PDF-документы, DOCX-файлы, видео и PNG-изображения, которые кажутся релевантными поисковому запросу. Нажатие на любую из ссылок для скачивания запускает загрузку вредоносного запакованного JScript payload.

Возвращение Gootloader подтверждает непростую истину: когда эффективная социальная инженерия встречается с постоянными инновациями, простое нарушение работы редко убивает кампанию - оно лишь заставляет ее эволюционировать. Злоумышленники продолжают демонстрировать креативность в обходе защитных механизмов, смешивании с нормальным веб-трафиком и обмане пользователей с помощью контекстуально релевантных приманок. Для специалистов по безопасности одним из наиболее явных новых индикаторов компрометации стали ZIP-архивы, которые распаковываются по-разному в зависимости от используемого инструмента.

MD5

• 8b24c33ce7d02432d362cf662c2a16da
• ee5e94fb11bd67395ee7a9a7b2b490c2

SHA1

• 128bba72014c5e7ab8c7dd4325a50f94ef5fcb81
• b9117e9068588297ea159e8c138effb4043947f4

SHA256

• 802f33e40b078fbe5c2258f0842fb1b04478927ced8a8d6236e9d6c99f341150
• 88ea7c5b7f1a8cf5496ee92940ebbd9d3bb462a945ef4e756781b6c31f445406