58 подписчиков
💻 GootLoader 3 — новый троян
Вредоносное программное обеспечение под названием GootLoader активно используется злоумышленниками для доставки дополнительных вредоносных программ на скомпрометированные устройства.
Недавние обновления GootLoader привели к появлению сразу нескольких вариаций вредоноса, причём в настоящее время активно используется GootLoader 3. Несмотря на изменения в деталях, стратегия заражения и общая функциональность вредоноса остаются схожими с началом его активности в 2020 году.
Сам по себе GootLoader представляет из себя загрузчик вредоносных программ и является частью банковского трояна Gootkit. Он тесно связан с группировкой Hive0127 (также известной как UNC2565). Это ПО использует JavaScript для загрузки инструментов постэксплуатации и распространяется благодаря использованию метода «отравления поисковой выдачи» (SEO Poisoning).
Зачастую GootLoader используется для доставки различных вредоносных программ, таких как Cobalt Strike, Gootkit, IcedID, Kronos, REvil и SystemBC. А несколько месяцев назад злоумышленники, стоящие за GootLoader, также выпустили свой собственный инструмент командного управления и бокового перемещения под названием GootBot, что свидетельствует о расширении их деятельности для получения большей финансовой выгоды.
Цепочки атак включают компрометацию веб-сайтов для размещения вредоносного JavaScript-кода GootLoader под видом легальных документов и соглашений. При запуске таких файлов в Windows создаётся запланированная задача для поддержания постоянства заражения, а также выполняется дополнительный PowerShell-скрипт, собирающий информацию о системе и ожидающий дальнейших инструкций.
1 минута
11 июля 2024