Gootloader, hareketsiz kaldıktan sonra ciddi bir tehdit olarak yeniden ortaya çıktı ve modern güvenlik sistemlerini aşacak şekilde tasarlanmış yenilenmiş özelliklerle Kasım 2025’te geri döndü.
Bu kötü amaçlı yazılım, ilk erişim aracısı görevi görüyor; bu, geliştiricilerinin fidye yazılımı saldırıları için giriş noktası oluşturduğu ve ardından kontrolü gerçek şifreleme araçlarını kullanan diğer tehdit aktörlerine devrettiği anlamına geliyor.
Kötü amaçlı yazılımın etkinliği, güvenliği ihlal edilmiş sistemlerde işlevselliğini korurken tespitten kaçma yeteneğinde yatmaktadır.
Vanilla Tempest olarak bilinen tehdit grubu, Rhysida fidye yazılımı kampanyalarıyla birlikte bundan yararlanmaya devam ederken, dünya çapındaki kuruluşlar bu büyüyen tehdide karşı savunma yapmak için yarışıyor.
Kötü amaçlı yazılım, güvenlik araçlarının kafasını karıştırmak için kasıtlı olarak hatalı biçimlendirilmiş aldatıcı ZIP arşivlerine yerleştirilmiş, güvenliği ihlal edilmiş web siteleri üzerinden dolaşıyor.
Kullanıcılar meşru gibi görünen bir belgeyi indirdiklerinde, hem otomatik analizi hem de özel çıkarma yazılımını atlayacak şekilde tasarlanmış yüzlerce birleştirilmiş ZIP arşiviyle dolu bir dosya alırlar.
.webp)
Dış ambalaj, 7zip ve WinRAR gibi arşivden çıkarma araçlarının çoğu içeriği çıkaramayacak şekilde tasarlanmıştır, ancak varsayılan Windows arşivden çıkarma aracı onu güvenilir bir şekilde açarak, savunucular onu analiz etmeye çalışırken mağdurların yükü yürütebilmesini sağlar.
Expel analistleri, Gootloader’ın ZIP arşivlerinin birlikte çalışan çok sayıda karmaşık kaçınma özelliği içerdiğini belirtti.
Yapı, bir araya getirilmiş yüzlerce kopyayı, kritik alanlarda rastgele oluşturulmuş değerleri ve geleneksel güvenlik tarayıcılarında ayrıştırma hatalarına neden olan kasıtlı olarak kısaltılmış bölümleri içerir.
Önceki yıllarda bu kötü amaçlı yazılım, güvenlik çözümlerini aşarak tespit edilen tüm kötü amaçlı yazılımların yüzde on birini temsil ediyordu ve bu da kanıtlanmış bir geçmişini gösteriyordu.
Enfeksiyon Mekanizması ve Kalıcılık Stratejisi
Kötü amaçlı ZIP dosyası açıldığında, içine yerleştirilmiş bir JScript dosyası çift tıklandığında otomatik olarak yürütülür.
Komut dosyası, Windows Komut Dosyası Ana Bilgisayarı aracılığıyla çalışır ve kullanıcının Başlangıç klasöründe bağlantı dosyaları oluşturarak anında kalıcılık sağlar. Bu bağlantılar, rastgele bir dizinde saklanan ikinci bir JScript dosyasına işaret ederek, kötü amaçlı yazılımın her sistem yeniden başlatıldığında yeniden etkinleştirilmesini sağlar.
JScript daha sonra ikincil yükleri indirmek için saldırganın altyapısıyla iletişim kuran, oldukça karmaşık komutlarla PowerShell’i oluşturur.
.webp)
Kaçınma stratejisi, indirilen her dosyanın benzersiz özellikler içerdiği hashbusting adı verilen bir teknikle daha da genişletilir.
Her kurban, rastgele alan değerlerine sahip tamamen farklı bir arşiv yapısı alır ve bu da imza tabanlı tespitin neredeyse imkansız olmasını sağlar. Kuruluşlar, ağlarında bu örnekleri tanımlamak için dosya karmalarına veya statik kalıplara güvenemez.
Güvenlik ekipleri, .js dosyalarını Windows Komut Dosyası Ana Bilgisayarı yerine Not Defteri ile yeniden ilişkilendirerek Grup İlkesi Nesneleri aracılığıyla JScript yürütülmesini engellemeye öncelik vermelidir.
Ek korumalar arasında şüpheli PowerShell süreç zincirlerinin izlenmesi, komut dosyası yürütme sırasında NTFS kısa adı kullanımının tespit edilmesi ve özel YARA kuralları kullanılarak hatalı biçimlendirilmiş ZIP yapılarının taranması yer alır.
ZIP teslim aşamasında erken tespit, saldırganların sisteme daha derin erişim elde etmesinden önce fidye yazılımı dağıtımını önlemek için en iyi fırsatı sunar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
