بدافزار GootLoader، یک لودر است که به سوء استفاده از جاوا اسکریپت برای دانلود بدافزار یا ابزارهایی که پس از انجام فرآیند نفوذ برای سوء استفاده بیشتر و تداوم دسترسی در دستگاه آلوده مورد نیاز است، شناخته میشود.
GootLoader از تکنیک SEO poisoning برای نفوذ اولیه استفاده میکند تا پیلود مخرب جاوا اسکریپت خود را بین قربانیان توزیع کند. این بدافزار به هنگام جستجوی عبارات خاصی مانند اسناد قانونی و توافقنامهها در موتورهای جستجو مانند گوگل، بر روی ماشینهای قربانی مستقر میشود.
اخیرا در یک اتفاق جالب، کاربرانی که در مورد گربههای بنگال در استرالیا جستجو میکنند، توسط بدافزار GootLoader مورد هدف قرار گرفتهاند.
قربانیان اغلب فریفته کلیک بر روی ابزارهای تبلیغاتی مخرب یا لینک میشوند و یا در این مورد یک جستجوی قانونی گوگل کاربران را به یک وب سایت مخرب هدایت میکند که میزبان یک پیلود آلوده است که به عنوان فایل مورد نظر ظاهر میشود.
چنانچه بدافزار در دستگاه قربانی شناسایی نشده باقی بماند، راه را برای یک پیلود مرحله دوم به نام GootKit باز میکند که یک رباینده اطلاعات و تروجان دسترسی از راه دور (RAT) است که برای ایجاد یک جای پای ثابت در محیط شبکه قربانی طراحی شده است.
GootKit میتواند برای استقرار باج افزار یا دیگر ابزارها، از جمله Cobalt Strike، IcedID، Kronos، REvil و SystemBC به منظور بهره برداریهایب بعدی استفاده شود.
MDR شرکت Sophos، یک آرشیو zip را کشف کرده است که برای تحویل پیلود مرحله اول GootLoader در حین بررسی تاریخچه مرورگر کاربر قربانی استفاده میشود. این پیلود به MDR اجازه میدهد تا وبسایت آلوده را که میزبان پیلود مخرب است شناسایی کند.
یک فایل جاوا اسکریپت در آرشیو ZIP وجود دارد که مسئول راه اندازی یک زنجیره حمله چند مرحلهای است که با اجرای یک اسکریپت PowerShell که قادر به جمع آوری اطلاعات سیستم و دریافت پیلودهای بیشتر است به اوج خود میرسد.
گروه Vulnerbyte، اوایل ماه جولای ۲۰۲۴ نیز گزارشی در خصوص افزایش فعالیت بدافزار GootLoader منتشر کرد. زنجیره حمله شامل ایجاد وب سایتهایی است که آرشیوهایی با موضوعات و عناوین اسناد و توافق نامههای قانونی را میزبانی میکنند. هکرها به گونهای بر روی SEO این سایتها کار کردهاند که غالبا در نتایج جستجو، بالا هستند.
این فایلهای آرشیو حاوی پیلود جاوا اسکریپت GootLoader میباشند. هکرها با آلوده ساختن این اسناد به پیلود جاوا اسکریپت بدافزار GootLoader، فرآیند نفوذ به دستگاه قربانی را تسهیل میسازند. این حملات همچنین به دلیل استفاده از رمزگذاری کد منبع، مبهم سازی جریان و کنترل آن، افزایش اندازه پیلود به منظور دشوار ساختن تجزیه و تحلیل و شناسایی آن، قابل توجه و حائز اهمیت میباشند.
نسخههای ۲.۰ و ۳.۰ بدافزار GootLoader، فایلهای کتابخانه جاوا اسکریپت قانونی را به عنوان بخشی از تکنیک دور زدن مکانیزم شناسایی، تروجانیزه میکنند. بدافزار GootLoader در طول چرخه حیات خود چندین به روزرسانی دریافت کرده است که یکی از آنها، همین تغییر در عملکرد دور زدن نرم افزارها و مکانیزمهای امنیتی و اجرای بدافزار میباشد.
GootLoader یکی از گروههای مصمم در تحویل بدافزار به عنوان یک سرویس است که به شدت از نتایج جستجو به عنوان ابزاری برای دسترسی به قربانیان استفاده میکند. استفاده از بهینهسازی موتورهای جستجو و سوء استفاده از تبلیغات موتورهای جستجو برای فریب دادن اهداف به منظور دانلود لودرها و نصب کنندههای بدافزار، اتفاق جدیدی نیست، GootLoader حداقل از سال 2020 این کار را انجام میدهد.
در کنار نرم افزارهای امنیتی که وجود دارد و کاربران میتوانند برای شناسایی این نوع بدافزار پیادهسازی کنند، بهترین راهکار پیشنهادی در مقابل چنین تهدیداتی، مراقبت در برابر لینکها یا منابع مشکوکی است که ممکن است آلوده باشند.