Kötü şöhretli gootloader kötü amaçlı yazılım, eski taktikleri modern teslimat yöntemleriyle birleştiren yeni bir kampanya ile yeniden ortaya çıktı.
Bu son yineleme, Google reklamlarını, gizlilik sözleşmeleri (NDA’lar) veya kira sözleşmeleri gibi yasal belge şablonlarını arayan kullanıcıları hedeflemek için kullanır.
Kampanya, kötü amaçlı yükler sunmak için meşru platformlara güvenden yararlanan tehdit aktörlerinin gelişen stratejilerini örneklendiriyor.
Tarihsel olarak, GoOtLoader kurbanları kötü amaçlı dosyalara barındıran WordPress sitelerine itiraz etmek için arama motoru optimizasyonu (SEO) zehirlenmesine güvenmiştir.
Bununla birlikte, son kampanya, saldırganların artık “Lawliner[.]com, ”kötü amaçlı yazılım dağıtmak.
Bu siteler, tehlikeye atıldığından şüphelenilen “Med Media Group Limited” adlı bir reklamverene atfedilen Google reklamları aracılığıyla tanıtılmaktadır.
Enfeksiyon zinciri: yasal şablonlardan kötü amaçlı yazılımlara
Enfeksiyon süreci, bir kullanıcı çevrimiçi yasal şablonlar aradığında “İfade Sıkıştırılmaması Sözleşmesi Şablonu” gibi başlar.
En iyi arama sonuçları arasında “Lawliner için sponsorlu bir reklamla karşılaşırlar[.]com. “
Reklamı tıkladıktan sonra, kullanıcılar istenen belgeyi sunan profesyonel görünümlü bir web sayfasına yönlendirilir.
Rapora göre, erişmek için e -posta adreslerini vermeleri istenir.
E -postalarını verdikten kısa bir süre sonra kurbanlar “avukat@skhm’den bir e -posta alır[.]Org ”, istenen dosyayı indirmek için bir bağlantı içerir.
Bağlantı meşru görünse de, istenen belge olarak gizlenmiş kötü amaçlı bir JavaScript (.js) dosyası içeren bir zip dosyası sunar.
Örneğin, “non_disclosure_agreement_nda.zip” adlı bir dosya “non_disclosure_agreement_nda.js” içerir.
Yürütüldükten sonra, JavaScript dosyası tipik gootloader enfeksiyon zincirini başlatır.
Kalıcılık için zamanlanmış bir görev oluşturur ve kullanıcının içine başka bir JavaScript dosyası bırakır %AppData%\Roaming dizin.
Bu dosya daha sonra PowerShell komutlarını yürütür, birden fazla WordPress bloglarıyla iletişim kurar ve ek yükler indirmek veya komut ve kontrol (C2) sunucuları ile iletişim kurmak için diğer tuzaklar.
Teknik sofistike ve kaçınma teknikleri
Gootloader, gelişmiş kaçırma teknikleriyle bilinir.
Kötü amaçlı yazılım, tespit ve analize direnmek için ağır gizleme, kaynak kodu kodlaması ve yük boyutu enflasyonu kullanır.
Ayrıca, JQuery ve Lodash gibi meşru JavaScript kütüphanelerine kötü amaçlı kod yerleştirerek tanımlamasını daha da karmaşıklaştırır.
Enfeksiyon zinciri birden fazla aşama içerir:
- Windows komut dosyası ana bilgisayar (wscript.exe) aracılığıyla ilk JavaScript yükünün yürütülmesi.
- Kalıcılık için planlanmış görevlerin oluşturulması.
- PowerShell kullanarak ikincil yüklerin dağıtılması.
- Keşif için C2 sunucuları ile iletişim ve ek kötü amaçlı yazılım indirme.
Kötü amaçlı yazılımların modüler tasarımı, fidye yazılımı (örn. Revil), bankacılık truva atları (örn. Kronos) ve kobalt grevi gibi sömürü sonrası araçlar dahil olmak üzere çeşitli yükler sunmasına izin verir.
Bu tehdide karşı koymak için, siber güvenlik uzmanları, bu kampanyayla ilişkili alanlara trafiği engellemenizi önerir:[.]com ”ve“ skhm[.]Org, ”hem web hem de e -posta ağ geçitlerinde.
Kuruluşlar ayrıca bu alanlarla etkileşimler için tarihsel günlükleri izlemeli ve kullanıcıları doğrulanmamış kaynaklardan dosya indirme riskleri konusunda eğitmelidir.
Gootloader’ın yasal temalı yemlere odaklanması ve Google reklamları gibi güvenilir platformlardan yararlanma yeteneği göz önüne alındığında, uyanıklık da kritik öneme sahiptir.
Kuruluşlar, bilinen uzlaşma göstergeleri (IOC) ile bağlantılı şüpheli aktivite için gizlenmiş komut dosyalarını tespit edebilen ve ağ trafiğini izleyebilen güçlü uç nokta koruma çözümleri uygulamalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!