GootLoader усиливает атаки через SEO-манипуляции

В последнее время киберпреступники активизировали использование вредоносного программного обеспечения GootLoader. Это ПО, являясь частью трояна Gootkit, теперь доставляет дополнительные нагрузки на зараженные устройства.

Специалисты по кибербезопасности из компании Cybereason обнаружили, что недавно обновленный GootLoader 3 активно используется для кибератак. Основные методы инфекции и функционал остались прежними, как и при его появлении в 2020 году.

Вредоносная программа распространяется с помощью тактик SEO-отравления, применяя JavaScript для загрузки дополнительных вредоносных инструментов. GootLoader обычно служит средством для транспортировки разнообразных вредоносных кодов, включая такие известные угрозы, как Cobalt Strike и REvil.

Одной из последних разработок группы, стоящей за GootLoader, является инструмент для командного управления и передвижения в сети под названием GootBot. Это указывает на стремление хакеров к расширению своих операций.

Атаки осуществляются путем заражения веб-сайтов, которые размещают скрипты JavaScript GootLoader, маскируя их под юридические документы. После активации вредоносного кода начинается процесс установления постоянного контроля над устройством и подготовка к дальнейшим действиям.

Атакующие используют методы SEO для привлечения пользователей, ищущих деловые документы, как юридические соглашения или шаблоны контрактов. К тому же, они применяют техники кодирования исходного кода и обфускации для усложнения обнаружения и анализа вредоносного ПО.