- Gootloader kötü amaçlı yazılımı, enfeksiyonları yaymak için kötü amaçlı reklamcılık ve SEO zehirlenmesi kullanarak yeniden ortaya çıkıyor
- Saldırganlar artık aldatıcı web yazı tipleri ve glif değişimi kullanarak kötü amaçlı yazılım adlarını gizlemektedir
- Yükleyici, güvenliği ihlal edilmiş arama sonuçları aracılığıyla fidye yazılımları, bilgi hırsızları ve Cobalt Strike’ı dağıtıyor
Uzmanlar, Mart 2025’te bozulup kapatıldığı düşünülen Gootloader kötü amaçlı yazılım dolandırıcılığının hem eski hem de yeni hilelerle geri döndüğü konusunda uyardı.
Gootloader’ın kötü amaçlı reklamcılık kullanması ve SEO Kötü amaçlı yazılımı dağıtmak için zehirlenme. Siber suçlular ya web siteleri oluşturur ya da yasal olanlara sızar ve bunları NDA şablonları gibi farklı belgeleri barındıracak şekilde yeniden düzenler. Daha sonra popüler reklam ağlarında reklam satın alıyorlar ya da SEO zehirlenmesine girişiyorlar; sayısız web makalesi oluşturuyorlar ve bunları kontrolleri altındaki sitelere bağlantı veren anahtar kelimelerle dolduruyorlar.
Huntress Labs’tan analistler, yüzlerce web sitesinin barındırıldığını gördüklerini iddia ediyor. kötü amaçlı yazılımbu iki uygulamanın birleşiminin, insanlar farklı terimler aradığında, bu kötü amaçlı web sitelerinin, gerçek meşru sayfalar yerine arama motoru sonuçlarının en üstünde ortaya çıkacağı ve bu durumun tehlikeye girme olasılığını artıracağı anlamına geldiğini belirtti.
Gizleme teknikleri
Kampanya, güvenlik araştırmacılarının İSS’lere ve barındırma platformlarına yönelik sürekli baskısının saldırganların altyapısının devre dışı bırakılmasıyla sonuçlanmasının ardından Mart 2025’te fiilen sonlandırıldı.
Şimdi, yarım yıllık bir aradan sonra, Gootloader geri döndü ve yükleyiciyi dağıtmak için aynı teknikleri kullanıyor ve bu da farklı hizmet veriyor fidye yazılımıbilgi hırsızları veya Kobalt Saldırısı işaretçileri.
Araştırmacılar, en büyük farkın yeni gizleme tekniklerinde olduğunu söyledi. Saldırganlar, JavaScript’i kullanarak, karakterleri aynı görünen sembollerle değiştiren özel bir web yazı tipi kullanarak, kötü amaçlı yazılımın gerçek dosya adlarını gizler. Bir araştırmacı HTML kaynağında anlamsız sözcükler görebilir, ancak sayfa oluşturulduğunda semboller normal sözcükleri görüntüler.
Huntress, “OpenType değiştirme özelliklerini veya karakter eşleme tablolarını kullanmak yerine, yükleyici her glifin gerçekte görüntülediğini değiştiriyor. Yazı tipinin meta verileri tamamen meşru görünüyor; “O” karakteri “O” adlı bir glifle eşleşiyor, “a” karakteri “a” adlı bir glifle eşleşiyor ve benzeri,” dedi Huntress.
“Ancak, bu glifleri tanımlayan gerçek vektör yolları değiştirildi. Tarayıcı “O” glifinin şeklini istediğinde, yazı tipi bunun yerine “F” harfini çizen vektör koordinatlarını sağlar. Benzer şekilde, “a” “l”yi çizer, “9” “o”yu çizer ve “±” “i”yi çizer gibi özel Unicode karakterler. Kaynak kodundaki anlamsız dize Oa9Z±h• ekranda “Florida” olarak görüntülenir.”
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.