Gootloader kötü amaçlı yazılım kampanyası, otomatik güvenlik analizini atlatmasına olanak tanıyan gelişmiş kaçırma teknikleriyle yeniden ortaya çıktı.
Bu ısrarcı tehdit, yasal temalı arama motoru optimizasyonu zehirleme taktiklerini kullanarak beş yılı aşkın bir süredir kurbanları hedef alıyor.
Kötü amaçlı yazılım operatörleri, şüphelenmeyen kullanıcıları, fidye yazılımı dağıtımı için ilk erişimi sağlayan JScript yüklerini içeren kötü amaçlı ZIP arşivlerini indirmeye teşvik etmek için güvenliği ihlal edilmiş 100’den fazla web sitesine binlerce benzersiz anahtar kelime dağıtıyor.
Tehdit aktörü, potansiyel kurbanları arama motorları aracılığıyla çekmek için yem olarak “sözleşme”, “form” ve “anlaşma” gibi yasal terminolojiyi kullanarak sosyal mühendislik yaklaşımını geliştirmeye devam ediyor.
Bir kullanıcı, arama sonuçları aracılığıyla meşru yasal kaynaklar gibi görünen şeyleri keşfettiğinde, kötü amaçlı indirmeleri barındıran güvenliği ihlal edilmiş web sitelerine yönlendirilir.
Kampanyanın nihai hedefi değişmedi: kurbanları sonraki saldırılara kapı açacak kötü amaçlı JScript dosyalarını çalıştırmaya ikna etmek.
Huntress’teki güvenlik araştırmacıları, bu yeni varyantı Kasım 2025’in başlarındaki aktif tehdit avlama operasyonları sırasında tespit etti. Bu keşif, kötü amaçlı yazılımın dağıtım mekanizmasında ve kalıcılık stratejisinde önemli teknik değişiklikler olduğunu ortaya çıkardı.
Analist RussianPanda liderliğindeki araştırma ekibi, Gootloader’ın taktiklerinin gelişimini belgeledi ve güvenlik topluluğunu ortaya çıkan tehdit konusunda uyarmak için bulgularını yayınladı.
Kötü amaçlı yazılımın güvenlikli içerik sistemi, farklı kullanıcıların çeşitli koşullara bağlı olarak tamamen farklı web sayfalarını gördüğü bölünmüş bir gerçeklik yaratıyor.
Coğrafi konum, işletim sistemi, yönlendiren kaynak veya tarama süresi gibi belirli kriterleri karşılamayan kullanıcılar yalnızca dil modelleri aracılığıyla oluşturulan zararsız blog içeriğini görür.
Ancak bu filtreleri geçen mağdurlar, görsel olarak Latin harflerine benzeyen Kiril karakterleri kullanan sahte alan adları içeren meşru web sitelerinin ikna edici kopyalarıyla karşılaşıyor.
ZIP Arşivi İşleme Tekniği
Bu kampanyadaki en önemli yenilik, kullanılan araca bağlı olarak farklı çıkarma sonuçları üretmek için ZIP arşivlerinin manipüle edilmesidir.
Arşiv, Windows Gezgini ile açıldığında, kötü amaçlı yükü içeren geçerli bir .JS dosyasını çıkarır.
Ancak VirusTotal, Python’un yerleşik zip yardımcı programları veya 7-Zip gibi otomatik analiz platformları, aynı arşivi zararsız bir .TXT dosyası olarak açar.
Bu akıllı kaçırma tekniği, farklı açma motorlarının ZIP dosya yapılarını yorumlama biçimindeki tutarsızlıklardan yararlanarak, kötü amaçlı yazılımın otomatik tarama sistemlerinden gizlenmesine ve Windows sistemlerindeki hedeflenen kurbanlar için işlevsel kalmasına olanak tanır.
Kalıcılık mekanizması ayrıca zamanlanmış görevlerden bir .LNK kısayolları zincirine dönüştü; bunlardan biri kullanıcının Başlangıç klasörüne yerleştirildi ve AppData’da ikincil bir JScript yükünü çalıştıran diğerine işaret etti.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
