Új trükkök a védelem kijátszására
Az újabb kampányban a Gootloader üzemeltetői többszintű elrejtést alkalmaznak: véletlenszerűen átrendezik a lemeztartományokat leíró mezőket, metaadat-ütközéseket generálnak a fájlfejlécekben, és minden letöltéshez egyedi ZIP- és JScript-fájlt készítenek. Az archívumot ráadásul XOR-kódolt formában küldik, amelyet a kliens helyi gépén állítanak össze érvényes ZIP-állománnyá, így a hálózati ellenőrzés során is el tud rejtőzni.
A támadás menete és a védekezés esélyei
A kártékony JScript-fájl a Windows Script Hostban (WScript) aktiválódik egy ideiglenes mappából, majd a rendszerindításhoz is hozzáad egy parancsikont. Minden rendszerinduláskor újabb folyamat indul, amely PowerShell-szkriptet indít. Miközben a Gootloader a felismerést nehezítő hibás szerkezeteket alkalmaz, védelmi szempontból épp ezek a szokatlan szerkezeti elemek segíthetik a felfedezést. A kutatók szerint a védekezés egyik módja, ha a JScript-fájlokat a Windows Script Host helyett Jegyzettömbben nyitod meg, illetve célszerű letiltani a wscript.exe és cscript.exe futását, ha nincs szükség a JScript használatára.
