Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Гибкость Gootloader: новая угроза через Google Ads

1
1 мин
Вредоносная программа Gootloader, связанная с развивающимся хакерством, в очередной раз изменила свою тактику, восстанавливая при этом некоторые прежние стратегии. В рамках текущей кампании Gootloader использует Google Ads для нацеливания на потенциальные жертвы, в основном на тех, кто ищет юридические шаблоны и соглашения. Последние изменения в методах работы Gootloader отражают их предыдущее использование взломанных блогов WordPress, где было распространено более 5 миллионов юридических терминов для доставки вредоносного ПО. _Создание собственной инфраструктуры_ для распространения вредоносного ПО стало заметной вехой в их стратегии. Заражение происходит следующим образом: На данном этапе URL-адрес не показывает, будет ли пользователь загружать вредоносный архивированный файл .JS или безвредный файл .docx. Если пользователь запускает загруженный файл .JS, Gootloader начинает свою работу, создавая запланированную задачу, указывающую на другой файл .JS в папке appdataroaming пользовате
Оглавление
Источник: gootloader.wordpress.com
Источник: gootloader.wordpress.com

Вредоносная программа Gootloader, связанная с развивающимся хакерством, в очередной раз изменила свою тактику, восстанавливая при этом некоторые прежние стратегии. В рамках текущей кампании Gootloader использует Google Ads для нацеливания на потенциальные жертвы, в основном на тех, кто ищет юридические шаблоны и соглашения.

Изменения в стратегии атаки

Последние изменения в методах работы Gootloader отражают их предыдущее использование взломанных блогов WordPress, где было распространено более 5 миллионов юридических терминов для доставки вредоносного ПО. _Создание собственной инфраструктуры_ для распространения вредоносного ПО стало заметной вехой в их стратегии.

Процесс заражения

Заражение происходит следующим образом:

  • Пользователь нажимает на вредоносную рекламу, связанную с lawliner.com.
  • Сайт предлагает пользователю «Получить документ».
  • От пользователя требуется ввести свой адрес электронной почты, что добавляет элемент социальной инженерии к атаке.

На данном этапе URL-адрес не показывает, будет ли пользователь загружать вредоносный архивированный файл .JS или безвредный файл .docx. Если пользователь запускает загруженный файл .JS, Gootloader начинает свою работу, создавая запланированную задачу, указывающую на другой файл .JS в папке appdataroaming пользователя.

Контакт с скомпрометированными блогами

После этого вредоносная программа выполняет команды PowerShell, инициируя контакт с несколькими блогами WordPress. В этом контексте:

  • 1-2 блога действительно скомпрометированы.
  • Остальные могут быть классифицированы как ложные срабатывания.

Эти факты подчеркивают сложность методов работы Gootloader и его адаптивную стратегию развертывания, свидетельствующую о текущих проблемах, связанных с противодействием целенаправленным хакерским атакам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Гибкость Gootloader: новая угроза через Google Ads".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Финансовые мошенничества
343 тыс интересуются