Вредоносный загрузчик GootLoader, ранее связанный с распространением программ-вымогателей, снова работает — об этом сообщили специалисты из Huntress, зафиксировавшие три новых случая заражения с конца октября. В двух эпизодах злоумышленники сумели получить контроль над доменными контроллерами менее чем за сутки после проникновения, пишет Securitylab. Этот инструмент применяется кибергруппировкой Hive0127 (она же UNC2565) и традиционно распространяется через заражённые сайты WordPress, в том числе благодаря техникам SEO-отравления.
Новая волна активности выделяется необычным приёмом маскировки: теперь вредонос внедряет на скомпрометированные страницы кастомный шрифт WOFF2 с подменой символов, что позволяет скрывать настоящие имена файлов. Пользователь, копируя название ZIP-архива или просматривая код страницы, видит лишь набор бессмысленных знаков. Однако в браузере благодаря встроенному шрифту эти символы визуально преобразуются в понятные наименования — например, «Florida_HOA_Committee_Meeting_Guide.pdf». Кодировка шрифта реализована через механизм Z85, сжимающий 32 КБ до 40 КБ и встраивающийся прямо в JavaScript.
ZIP-архив, который получают жертвы, также подвергается модификации: при анализе с помощью популярных утилит, таких как VirusTotal, Python-модули или 7-Zip, он отображается как обычный текстовый документ. Однако при извлечении через проводник Windows в папке оказывается полноценный JavaScript-файл, содержащий основной вредоносный код. Такой обход анализаторов позволяет атакующим выиграть время и отложить выявление угрозы.
Скрипт разворачивает модуль Supper — это бэкдор, способный устанавливать подключение по протоколу SOCKS5 и обеспечивать удалённый доступ. В ходе одной из атак была зафиксирована эскалация привилегий с помощью встроенного инструмента Windows Remote Management: злоумышленники создали учётную запись администратора и проникли в контроллер домена. Supper использует навязчивое шифрование и динамическую генерацию shell-кода для сокрытия своего назначения, однако выполняет сравнительно простые функции, сосредоточенные на проксировании и удалённом управлении.