Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Возобновление кампании Gootloader: новые методы сокрытия полезной нагрузки

3 мин
Кампания Gootloader вновь активна и продолжает оттачивать проверенную стратегию — приманивание жертв документами юридической тематики. Более пяти лет злоумышленники используют ключевые слова вроде «контракт», «форма» и «соглашение», чтобы повысить вероятность открытия вложений или перехода по ссылкам и последующей загрузки вредоносного ПО. Главное новшество кампании — усовершенствованный метод сокрытия истинной природы полезной нагрузки внутри архивов. При извлечении архива в проводнике Windows жертва видит допустимый файл JavaScript (.JS), тогда как при проверке тем же архивом с помощью сторонних инструментов, например VirusTotal или различных zip-утилит, содержимое отображается как текстовый файл (.TXT), выглядящий безобидно. Это целенаправленное запутывание значительно затрудняет обнаружение и анализ угрозы. «Этот метод запутывания значительно усложняет обнаружение вредоносного ПО». Ранее Gootloader чаще всего обеспечивал устойчивость через создание запланированных задач, которые за
Оглавление

Кампания Gootloader вновь активна и продолжает оттачивать проверенную стратегию — приманивание жертв документами юридической тематики. Более пяти лет злоумышленники используют ключевые слова вроде «контракт», «форма» и «соглашение», чтобы повысить вероятность открытия вложений или перехода по ссылкам и последующей загрузки вредоносного ПО.

Что нового в последней волне?

Главное новшество кампании — усовершенствованный метод сокрытия истинной природы полезной нагрузки внутри архивов. При извлечении архива в проводнике Windows жертва видит допустимый файл JavaScript (.JS), тогда как при проверке тем же архивом с помощью сторонних инструментов, например VirusTotal или различных zip-утилит, содержимое отображается как текстовый файл (.TXT), выглядящий безобидно. Это целенаправленное запутывание значительно затрудняет обнаружение и анализ угрозы.

«Этот метод запутывания значительно усложняет обнаружение вредоносного ПО».

Эволюция механизмов закрепления

Ранее Gootloader чаще всего обеспечивал устойчивость через создание запланированных задач, которые запускали вредоносные компоненты после перезагрузки системы. Текущая итерация демонстрирует изменения в механизмах закрепления, что может указывать на адаптацию к усиленному мониторингу и защитным мерам со стороны команд кибербезопасности. Такая эволюция отображает стремление злоумышленников обходить существующие детекторы и политики безопасности.

Система «закрытого контента» и обман поисковых алгоритмов

Также примечателен компонент так называемой системы закрытого контента, используемой Gootloader. Ее цель — ввести в заблуждение как исследователей безопасности, так и алгоритмы поисковых систем, скрывая реальные цели и методы распространения. Эта тактика подчеркивает, что злоумышленники не полагаются на единичные приемы, а постоянно развивают многоуровневые методы маскировки операций.

На что обращать внимание — индикаторы и признаки компрометации

  • Необычные архивы или вложения с юридической тематикой («контракт», «соглашение», «форма» и т. п.).
  • Файлы, которые в проводнике отображаются как .JS, но при проверке через сторонние сервисы превращаются в .TXT.
  • Появление новых запланированных задач либо модификация существующих без явной причины.
  • Необычная сетевого активность после открытия документов — исходящие соединения на неизвестные домены или IP.
  • Несколько разных результатов при сканировании одного и того же архива разными инструментами.

Рекомендации по защите

  • Обновите антивирусное ПО и системы обнаружения — современные решения лучше реагируют на эвристические и поведенческие признаки.
  • Проверяйте архивы несколькими инструментами и в песочницах (sandbox) перед их открытием в рабочей среде.
  • Ограничьте выполнение скриптов и макросов на пользовательских рабочих станциях; блокируйте исполнение .JS в неподконтрольных контекстах.
  • Обучайте сотрудников распознавать фишинговые письма и подозрительные вложения, особенно с юридической тематикой.
  • Мониторьте и анализируйте создание/изменение запланированных задач и автозапусков в системе.
  • Используйте EDR/NGAV-решения для обнаружения нетипичного поведения процессов и сетевых подключений.
  • Изолируйте сомнительные файлы и обменивайтесь образцами с CERT/соответствующими командами для коллективного реагирования.

Кампания Gootloader демонстрирует, что современные угрозы развиваются не точечно, а системно: злоумышленники комбинируют социальную инженерию с техническими ухищрениями, чтобы обходить защиту и исследования. Поэтому комбинированный подход — обновлённые инструменты, внимательное администрирование и подготовленные пользователи — остается ключом к снижению рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Возобновление кампании Gootloader: новые методы сокрытия полезной нагрузки".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются