GootLoader 3: троянский конь в деловом костюме

Вредоносное программное обеспечение под названием GootLoader активно используется злоумышленниками для доставки дополнительных вредоносных программ на скомпрометированные устройства.

Как сообщает компания Cybereason в своём недавнем анализе, обновления GootLoader привели к появлению сразу нескольких вариаций вредоноса, причём в настоящее время активно используется GootLoader 3. Несмотря на изменения в деталях, стратегия заражения и общая функциональность вредоноса остаются схожими с началом его активности в 2020 году.

Сам по себе GootLoader представляет из себя загрузчик вредоносных программ и является частью банковского трояна Gootkit. Он тесно связан с группировкой Hive0127 (также известной как UNC2565). Это ПО использует JavaScript для загрузки инструментов постэксплуатации и распространяется благодаря использованию метода «отравления поисковой выдачи» (SEO Poisoning).

Зачастую GootLoader используется для доставки различных вредоносных программ, таких как Cobalt Strike, Gootkit, IcedID, Kronos, REvil и SystemBC. А несколько месяцев назад злоумышленники, стоящие за GootLoader, также выпустили свой собственный инструмент командного управления и бокового перемещения под названием GootBot, что свидетельствует о расширении их деятельности для получения большей финансовой выгоды.

Цепочки атак включают компрометацию веб-сайтов для размещения вредоносного JavaScript-кода GootLoader под видом легальных документов и соглашений. При запуске таких файлов в Windows создаётся запланированная задача для поддержания постоянства заражения, а также выполняется дополнительный PowerShell -скрипт, собирающий информацию о системе и ожидающий дальнейших инструкций.

Полная схема атаки с использованием GootLoader

Исследователи по безопасности из Cybereason отмечают, что вредоносные сайты, хранящие архивные файлы, используемые для заражения, применяют SEO-методы для привлечения жертв, ищущих деловые файлы, такие как шаблоны контрактов или юридические документы.

Атаки также примечательны использованием методов кодирования исходного кода, обфускации потока управления и увеличения размера полезной нагрузки для противодействия анализу и обнаружению. Ещё одной интересной техникой является встраивание вредоносного ПО в легитимные файлы JavaScript-библиотек, такие как jQuery, Lodash, Maplace.js и tui-chart.

Исследователи утверждают, что с учётом последних обновлений GootLoader стал более скрытным и уклончивым, а значит представляет сейчас куда большую опасность, чем представлял ранее. Для защиты от подобных киберугроз критически важно регулярно обновлять программное обеспечение, использовать надёжные антивирусные решения, а также проявлять осторожность при открытии файлов из непроверенных источников.