Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Обновлённый GootLoader 3 проникает в компании через бизнес-файлы

08/07/24

hack3-Jul-08-2024-10-45-55-9116-AM

Вредоносное программное обеспечение под названием GootLoader активно используется злоумышленниками для доставки дополнительных вредоносных программ на скомпрометированные устройства.

Как сообщает компания Cybereason в своём недавнем анализе, обновления GootLoader привели к появлению сразу нескольких вариаций вредоноса, причём в настоящее время активно используется GootLoader 3. Несмотря на изменения в деталях, стратегия заражения и общая функциональность вредоноса остаются схожими с началом его активности в 2020 году, пишет Securitylab.

Сам по себе GootLoader представляет из себя загрузчик вредоносных программ и является частью банковского трояна Gootkit. Он тесно связан с группировкой Hive0127 (также известной как UNC2565). Это ПО использует JavaScript для загрузки инструментов постэксплуатации и распространяется благодаря использованию метода «отравления поисковой выдачи» (SEO Poisoning).

Зачастую GootLoader используется для доставки различных вредоносных программ, таких как Cobalt Strike, Gootkit, IcedID, Kronos, REvil и SystemBC. А несколько месяцев назад злоумышленники, стоящие за GootLoader, также выпустили свой собственный инструмент командного управления и бокового перемещения под названием GootBot, что свидетельствует о расширении их деятельности для получения большей финансовой выгоды.

Цепочки атак включают компрометацию веб-сайтов для размещения вредоносного JavaScript-кода GootLoader под видом легальных документов и соглашений. При запуске таких файлов в Windows создаётся запланированная задача для поддержания постоянства заражения, а также выполняется дополнительный PowerShell-скрипт, собирающий информацию о системе и ожидающий дальнейших инструкций.

Исследователи по безопасности из Cybereason отмечают, что вредоносные сайты, хранящие архивные файлы, используемые для заражения, применяют SEO-методы для привлечения жертв, ищущих деловые файлы, такие как шаблоны контрактов или юридические документы.

Атаки также примечательны использованием методов кодирования исходного кода, обфускации потока управления и увеличения размера полезной нагрузки для противодействия анализу и обнаружению. Ещё одной интересной техникой является встраивание вредоносного ПО в легитимные файлы JavaScript-библиотек, такие как jQuery, Lodash, Maplace.js и tui-chart.

Исследователи утверждают, что с учётом последних обновлений GootLoader стал более скрытным и уклончивым, а значит представляет сейчас куда большую опасность, чем представлял ранее. Для защиты от подобных киберугроз критически важно регулярно обновлять программное обеспечение, использовать надёжные антивирусные решения, а также проявлять осторожность при открытии файлов из непроверенных источников.

Темы:УгрозытрояныJavaScriptCybereason
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...