Атака, связанная с вредоносным ПО Gootloader, вновь на слуху — на этот раз злоумышленники выбрали более изощрённую тактику и разместили вредоносные объявления через платформу Google Ads. Основной целью стали юридические работники, ищущие шаблоны документов, в которых теперь сокрыт вредоносный JavaScript-файл, пишет Securitylab.
Исследователь, специализирующийся на изучении активности Gootloader и ведущий блог «Gootloader Details», обнаружил, что для рассылки вредоносного кода используется рекламный аккаунт британской компании Med Media Group Ltd. По его словам, злоумышленники приобрели домен, оформили хостинг и настроили инфраструктуру через Cloudflare, тем самым замаскировав источник распространения.
На первый взгляд, реклама предлагает популярные юридические шаблоны — например, для соглашений о неразглашении. Пользователь попадает на сайт «lawliner[.]com», управляемый злоумышленниками. После перехода предлагается ввести адрес электронной почты, на который позже приходит письмо с якобы нужным документом.
Приложенный документ — это архив с файлом JavaScript, замаскированным под шаблон соглашения. После распаковки и запуска файл активирует вредоносный код, создающий запланированную задачу в системе. Эта задача запускает PowerShell-скрипт, собирающий информацию об устройстве: от названий процессов и файлов на рабочем столе до переменных окружения и доступного места на дисках.
Данные отправляются на десяток доменов, часть из которых — скомпрометированные блоги WordPress, перенаправляющие информацию на командный сервер хакеров. Остальные домены являются фальшивыми, имитирующими легитимные ресурсы, но участвующими в передаче данных злоумышленникам.
Ранее группировка уже применяла SEO-отравление: заражённые WordPress-сайты поднимались в поисковой выдаче по ключевым юридическим запросам. Однако теперь в ход пошли платные объявления, что увеличивает охват и позволяет точнее таргетировать жертв.
Юридическая сфера остаётся одной из самых привлекательных целей для подобных атак, пишут в Securitylab, — компании хранят конфиденциальные данные клиентов, детали сделок, документы с подписями и контактную информацию высокопоставленных лиц. Утечка такой информации может быть использована как для шантажа, так и для вторичных атак.
Gootloader появился ещё в 2014 году как часть семейства GootKit. С 2020 года его активность заметно возросла, особенно в атакующих кампаниях, предшествующих вымогательскому ПО. Также вредоносная программа часто запускает дополнительный модуль GootBot, который расширяет возможности атакующего — например, позволяет загружать другое ПО или выполнять команды на заражённой машине.