Gootloader представляет собой давно действующее вредоносное программное обеспечение, атакующее организации. После успешной атаки доступ к компьютерам компании продаётся всем желающим.
Gootloader берёт начало от банковского трояна Gootkit, известного своими атаками в Европе ещё с 2010 года. Вредоносные приложения могут размещаться во взломанных сетях и чаще всего это приложения-вымогатели.
Специалисты из компании eSentire следили за деятельностью Gootloader в последнее время и выработали методы борьбы с приложением. Злоумышленники применяют методы отравления SEO, заманивая жертв в «огромный массив» скомпрометированных блогов WordPress. В этих блогах есть ссылки на вредоносные документы, шаблоны, формы. При переходе по ссылке система Windows заражается вредоносной программой Gootloader. Чаще всего жертвами становятся специалисты из юридических фирм и корпоративных юридических отделов. Причина в том, что злоумышленники применяют сообщения о юридических соглашениях и контрактах.
Специалисты создали специализированный веб-сканер для отслеживания веб-страниц, связанных с Gootloader. Было найдено примерно 178 тысяч активных страниц Gootloader и более 100 тысяч ранее заражённых сайтов.
Gootloader не показывает свои сообщения зарегистрированным пользователям и постоянно блокирует IP-адреса администраторов. Также блокируются несколько сетевых блоков выше и ниже их IP-адресов. Их пользователи не видят страниц с вредоносными ссылками.
Злоумышленники ежедневно проверяют страницу источника вредоносного ПО. Это даёт исследователям возможность выборочной защиты потенциальных жертв, применяя систему блокировки вредоносной программы. Для этого от них требуется перейти на страницу полезной нагрузки с IP-адресом, который они хотят включить в список блокировки администратора.
Наверняка авторы Gootloader захотят внести изменения в свою систему блокировки, чтобы обойти противостоящих им профессионалов из сферы кибербезопасности, пишет Techspot.