Kampaň kolem malwarového zaváděče Gootloader se po delší pauze znovu objevila a opět sází na taktiku, která cílí na běžné vyhledávání na webu. Útočníci podle popisovaných zjištění propagují škodlivé stránky přes SEO manipulace a někdy i přes reklamy ve vyhledávačích, aby se jejich obsah zobrazoval vysoko u dotazů typu „smlouva“, „právní šablona“ nebo „dokument ke stažení“. Cíl je jednoduchý: přesvědčit návštěvníka, aby stáhl archiv, který ve skutečnosti obsahuje škodlivý skript.

Gootloader je postavený na JavaScriptu a typicky se šíří přes kompromitované nebo útočníky spravované weby. Dřívější vlny kampaně často používaly stránky, které napodobovaly diskusní fóra, později se víc posunuly k „katalogům“ bezplatných šablon právních dokumentů. Po kliknutí na tlačítko stažení stránky obvykle ověřují, zda nejde o automatizovanou analýzu, a teprve potom nabídnou ZIP. Uvnitř se může skrývat soubor s příponou .js, který po spuštění stáhne další škodlivé komponenty a otevře cestu k následným útokům včetně nástrojů pro vzdálený přístup a dalších implantů, které se v praxi často pojí i s ransomwarem.

Novější varianta přidává techniky, které komplikují detekci. Jedna z nich pracuje se speciálním webovým písmem, kde se v HTML zdrojáku objevují nesmyslné znaky, ale po vykreslení na stránce se „přeloží“ do běžných slov. Huntress tento princip popisuje jako záměnu tvarů glyfů, takže text vypadá normálně až v prohlížeči. Další trik se týká poškozených ZIP archivů, které se mohou rozbalit odlišně podle použitého nástroje: Průzkumník Windows může vytáhnout škodlivý .js, zatímco jiné nástroje uvidí neškodný soubor.

V některých pozorovaných případech měla následná aktivita zahrnovat nasazení backdooru typu SOCKS5, který usnadňuje vzdálený přístup do sítě a rychlý pohyb útočníka napříč prostředím. Pro firmy i jednotlivce z toho plyne hlavně praktické riziko: stahování „šablon smluv“ z neznámých webů patří mezi situace, kde se vyplatí maximální opatrnost.

Zdroj: BleepingComputer