Új trükkökkel tért vissza a Gootloader
Hét hónap szünet után ismét megjelent a Gootloader, amely új módszerekkel támadja a felhasználókat. A JavaScript-alapú kártevő főként kompromittált vagy támadók által irányított weboldalakon keresztül terjed, és megtévesztő módszerekkel próbálja rávenni az embereket, hogy rosszindulatú dokumentumokat töltsenek le. Az oldalak keresőoptimalizálási (SEO) módszerekkel és hirdetésekkel kerülnek előre a találati listákban, különösen jogi dokumentumokra és szerződésekre keresve.
Ezek a trükkös weboldalak letöltési gombokkal kínálják a kártékony tartalmakat, miközben azt a látszatot keltik, hogy ingyenes jogi sablonokhoz lehet hozzájutni. Amint valaki letölt egy ilyen archívumot, abban egy .js kiterjesztésű, kártékony fájl található, például mutual_non_disclosure_agreement.js néven.
Különösen fontos kiemelni, hogy a Gootloader futtatásakor további káros programok, például a Cobalt Strike, hátsó kapuk és botok is felkerülhetnek a számítógépre. Ezek elsődleges célja, hogy hozzáférést nyissanak vállalati hálózatokhoz, megkönnyítve például zsarolóvírusok telepítését.
Új technikák a kutatók megtévesztésére
Egy álnéven dolgozó kiberbiztonsági kutató évek óta figyeli, és jelentésekkel záratja le az ilyen csaló infrastruktúrákat. Ennek hatására idén március 31-én a Gootloader hirtelen felhagyott a működésével, de most újra támadásba lendült, ismét jogi dokumentumok leple alatt terjedve.
Az új kampányban több ezer egyedi kulcsszót szórtak szét több mint 100 weboldalon. Az átverés célja továbbra is az, hogy rávegyék az áldozatokat egy JScript-fájlt tartalmazó ZIP-archívum letöltésére, amely megnyitja az utat további támadások, főleg zsarolóvírusok telepítéséhez.
A mostani variáns már speciális trükkökkel is védekezik az automatikus elemző- és védelmi rendszerek ellen. Például a kártékony oldalak forráskódjában a valódi fájlneveket egy egyedi webes betűtípus rejti el úgy, hogy a forrásban értelmetlen karakterek szerepelnek, de a böngészőben ez mégis értelmes szavakként, például „invoice” (számla) vagy „contract” (szerződés) jelenik meg. Így nehezebb felismerni a gyanús kulcsszavakat, és a biztonsági szoftverek könnyebben átverhetők.
Megtévesztő ZIP-archívumok és gyors támadások
Egy másik újítás a ZIP-archívumokat érinti: a támadók úgy készítik el ezeket, hogy Windows Intézővel kicsomagolva a Review_Hearings_Manual_2025.js nevű káros fájl keletkezik, de például a VirusTotal, Python ZIP-eszközök vagy a 7-Zip használata esetén csak egy ártalmatlan, Review_Hearings_Manual_202.txt nevű szövegfájl jelenik meg. Ez megnehezíti a detektálást és az automatikus elemzést.
A támadók a Super SOCKS5 hátsó kaput is tartósan elhelyezik az áldozatok gépein; ez egy olyan szoftver, amellyel távolról hozzáférhetnek a fertőzött hálózathoz. Ennek a csoportnak ismert tagjai már régóta aktívak, és más hírhedt zsarolóvírus-ügynökökkel, például a BlackCat-tel, a Zeppelin-nel vagy a Quantum Lockerrel is kapcsolatba hozhatók. Ezekben a támadásokban a behatolók mindössze húsz perc alatt felmérik a rendszert, majd 17 órán belül teljesen az ellenőrzésük alá vonják az Active Directory tartományvezérlőt is.
Hogyan védekezhetsz?
Most különösen fontos, hogy a felhasználók – főként azok, akik jogi sablonokat és dokumentumokat keresnek online – csak megbízható forrásból töltsenek le ilyen fájlokat. Ha egy oldal nem ismert és nem elismert erre a célra, inkább kerüljék el!
