Вредоносное ПО GootLoader на базе JavaScript возобновило свою активность с применением изощренных техник уклонения от обнаружения. Компания по кибербезопасности Huntress зафиксировала три случая заражения с 27 октября 2025 года, которые последовали за коротким всплеском активности в марте. Два из трех инцидентов привели к прямому вмешательству злоумышленников в скомпрометированные системы, причем в одном из случаев контроллер домена был захвачен в течение 17 часов после первоначального заражения.
Ключевой новой тактикой стала обфускация имен файлов с помощью кастомных шрифтов. На взломанных сайтах WordPress злоумышленники используют специальный шрифт формата WOFF2 с подменой глифов. В исходном коде страницы ссылка на вредоносный файл выглядит как бессмысленный набор символов, например,
Технически этот метод реализован путем встраивания 32-килобайтного файла шрифта WOFF2 непосредственно в JavaScript-код страницы. Для сжатия шрифта в строку размером около 40 КБ используется кодировка Z85, являющаяся вариантом Base85. Данный метод был детально описан исследователем безопасности Анной Фам из компании Huntress.
Второй метод уклонения — манипуляция с ZIP-архивами. Злоумышленники модифицируют вредоносный ZIP-файл таким образом, что его содержимое меняется в зависимости от способа открытия. Автоматизированные средства анализа, такие как VirusTotal или утилиты для работы с архивами в Python и 7-Zip, при распаковке видят безобидный текстовый файл с расширением.TXT. Однако когда жертва открывает тот же архив через Проводник Windows, из него извлекается полноценный вредоносный JavaScript-файл. Эта техника позволяет скрыть полезную нагрузку от автоматических сканеров и выиграть время.
Первоначальное заражение происходит через так называемое SEO-отравление, преимущественно в поисковой системе Bing. Пользователи, вводящие специфические запросы, например
Оператором GootLoader является хакерская группа, отслеживаемая как Hive0127 (также известная как UNC2565). Согласно отчету Microsoft, опубликованному в сентябре прошлого года, за управление заражениями GootLoader отвечает группа Storm-0494, которая затем передает полученный доступ другой группе — Vanilla Tempest.
После получения доступа Vanilla Tempest разворачивает бэкдор Supper (также известный как SocksShell или ZAPCAT), который и был основным имплантом в последних атаках, задокументированных Huntress. Помимо Supper, группа использует AnyDesk для удаленного доступа, а конечной целью часто является развертывание программы-вымогателя INC Ransomware.
Бэкдор Supper обладает возможностями удаленного управления и проксирования через SOCKS5. Для маскировки своей деятельности он использует такие техники, как API hammering (чрезмерное количество вызовов API), конструирование шеллкода в реальном времени и собственное шифрование.
Для перемещения внутри скомпрометированной сети злоумышленники использовали службу удаленного управления Windows (WinRM). Их основной целью был контроллер домена, на котором они незамедлительно создавали нового пользователя с правами администратора, закрепляя свое присутствие в инфраструктуре.
Бэкдор Supper также связывают с другим вредоносом — Interlock RAT (NodeSnake), который ассоциируется с программой-вымогателем Interlock. Согласно отчету компании Foresecout, опубликованному в прошлом месяце, группы, стоящие за Interlock и Vice Society, имеют связи с операторами вымогателя Rhysida, что указывает на тесное переплетение в теневой киберпреступной экосистеме.
Ранее в этом году GootLoader использовал другую тактику, полагаясь на рекламу в Google Ads. Кампания была нацелена на пользователей, ищущих юридические шаблоны и соглашения, и также перенаправляла их на взломанные WordPress-сайты для загрузки вредоносных ZIP-архивов.
Изображение носит иллюстративный характер
Ключевой новой тактикой стала обфускация имен файлов с помощью кастомных шрифтов. На взломанных сайтах WordPress злоумышленники используют специальный шрифт формата WOFF2 с подменой глифов. В исходном коде страницы ссылка на вредоносный файл выглядит как бессмысленный набор символов, например,
›μI€vSO₽'Oaμ==€,,33O%33,€×:O[TM€v3cwv. Однако при отображении в браузере жертвы этот код, благодаря пользовательскому шрифту, преобразуется в легитимное и правдоподобное имя файла, такое как Florida_HOA_Committee_Meeting_Guide.pdf. Технически этот метод реализован путем встраивания 32-килобайтного файла шрифта WOFF2 непосредственно в JavaScript-код страницы. Для сжатия шрифта в строку размером около 40 КБ используется кодировка Z85, являющаяся вариантом Base85. Данный метод был детально описан исследователем безопасности Анной Фам из компании Huntress.
Второй метод уклонения — манипуляция с ZIP-архивами. Злоумышленники модифицируют вредоносный ZIP-файл таким образом, что его содержимое меняется в зависимости от способа открытия. Автоматизированные средства анализа, такие как VirusTotal или утилиты для работы с архивами в Python и 7-Zip, при распаковке видят безобидный текстовый файл с расширением.TXT. Однако когда жертва открывает тот же архив через Проводник Windows, из него извлекается полноценный вредоносный JavaScript-файл. Эта техника позволяет скрыть полезную нагрузку от автоматических сканеров и выиграть время.
Первоначальное заражение происходит через так называемое SEO-отравление, преимущественно в поисковой системе Bing. Пользователи, вводящие специфические запросы, например
"missouri cover utility easement roadway", перенаправляются на скомпрометированные сайты на базе WordPress. На этих сайтах через уязвимости в эндпоинтах комментариев доставляется зашифрованный с помощью алгоритма XOR ZIP-архив, причем для каждого файла используется уникальный ключ шифрования. Оператором GootLoader является хакерская группа, отслеживаемая как Hive0127 (также известная как UNC2565). Согласно отчету Microsoft, опубликованному в сентябре прошлого года, за управление заражениями GootLoader отвечает группа Storm-0494, которая затем передает полученный доступ другой группе — Vanilla Tempest.
После получения доступа Vanilla Tempest разворачивает бэкдор Supper (также известный как SocksShell или ZAPCAT), который и был основным имплантом в последних атаках, задокументированных Huntress. Помимо Supper, группа использует AnyDesk для удаленного доступа, а конечной целью часто является развертывание программы-вымогателя INC Ransomware.
Бэкдор Supper обладает возможностями удаленного управления и проксирования через SOCKS5. Для маскировки своей деятельности он использует такие техники, как API hammering (чрезмерное количество вызовов API), конструирование шеллкода в реальном времени и собственное шифрование.
Для перемещения внутри скомпрометированной сети злоумышленники использовали службу удаленного управления Windows (WinRM). Их основной целью был контроллер домена, на котором они незамедлительно создавали нового пользователя с правами администратора, закрепляя свое присутствие в инфраструктуре.
Бэкдор Supper также связывают с другим вредоносом — Interlock RAT (NodeSnake), который ассоциируется с программой-вымогателем Interlock. Согласно отчету компании Foresecout, опубликованному в прошлом месяце, группы, стоящие за Interlock и Vice Society, имеют связи с операторами вымогателя Rhysida, что указывает на тесное переплетение в теневой киберпреступной экосистеме.
Ранее в этом году GootLoader использовал другую тактику, полагаясь на рекламу в Google Ads. Кампания была нацелена на пользователей, ищущих юридические шаблоны и соглашения, и также перенаправляла их на взломанные WordPress-сайты для загрузки вредоносных ZIP-архивов.
