- Gootloader kötü amaçlı yazılımı, fidye yazılımı saldırıları düzenlemek için kullanılan, dokuz aylık bir aradan sonra Ekim 2025’in sonlarında yeniden ortaya çıktı
- Özel web yazı tiplerinde gizlenmiş kötü amaçlı JavaScript aracılığıyla iletilir ve gizli uzaktan erişim ve keşif olanağı sağlar
- Storm-0494 ve Vice Society ile bağlantılı; Saldırganlar bazı durumlarda etki alanı denetleyicilerine bir saatten kısa sürede ulaştı
Dokuz aylık bir izinden sonra, kötü amaçlı yazılım Gootloader olarak bilinen yazılım gerçekten geri döndü ve muhtemelen fidye yazılımı enfeksiyonlarına karşı bir basamak olarak kullanılıyor.
Siber güvenlik araştırmacıları Huntress tarafından hazırlanan bir raporda, 27 Ekim’den Kasım 2025’in başına kadar “çoklu enfeksiyon” gözlemlendi. Bundan önce Gootloader en son Mart 2025’te görüldü.
Yeni kampanyada, Gootloader büyük olasılıkla Storm-0494 olarak bilinen bir grup ve onun alt operatörü olan Vanilla Tempest (aynı zamanda Vice Society olarak da bilinir) tarafından desteklendi. fidye yazılımı grup ilk olarak 2021’in ortasında gözlemlendi ve öncelikle eğitim ve sağlık sektörlerini hedef aldı ve ara sıra üretime de geziler düzenledi.
Kötü amaçlı yazılımları özel yazı tiplerinde gizleme
Araştırmacılar, Gootloader’ın ele geçirilen web sitelerinden kötü amaçlı JavaScript dağıtmak için kullanıldığını açıkladı. Komut dosyası, saldırganlara kurumsal Windows makinelerine uzaktan erişim sağlayan ve hesap ele geçirme veya fidye yazılımı dağıtımı gibi takip eden eylemleri mümkün kılan araçları yükler.
Gootloader, kötü amaçlı dosya adlarını ve indirme talimatlarını özel bir web yazı tipinin (WOFF2) içine sakladı, böylece sayfa tarayıcıda normal görünüyordu ancak ham HTML’de anlamsız metin gösteriyordu. Bir kurban ele geçirilen sayfayı açtığında, tarayıcı görünmez veya şifreli karakterleri okunabilir karakterlerle değiştirmek için yazı tipini kullandı ve gerçek indirme bağlantısını ve dosya adını yalnızca oluşturulduğunda ortaya çıkardı.
Kampanyanın amacı güvenilir ilk erişim elde etmek, hedef ağları hızlı bir şekilde haritalandırmak ve kontrol etmek ve ardından erişimi fidye yazılımı operatörlerine devretmektir. Tüm süreç, çoğunlukla yüksek değerli hedeflerin belirlenmesine, ayrıcalıklı hesaplar oluşturulmasına ve fidye yazılımlarına hazırlık yapılmasına yardımcı olan otomatik keşif ve uzaktan kontrol araçları aracılığıyla mümkün olduğu kadar hızlı gerçekleştirilir.
Huntress, bazı durumlarda saldırganların alan denetleyicilerine saatler içinde ulaştığını da sözlerine ekledi. İlk otomatik keşif genellikle kötü amaçlı JavaScript çalıştırıldıktan sonra 10-20 dakika içinde başlar ve bazı olaylarda operatörler, etki alanı denetleyicisine erişimi 17 saat kadar kısa bir sürede elde etti. En az bir ortamda, bir saatten kısa sürede etki alanı denetleyicisine ulaştılar.
Gootloader’a karşı savunma yapmak için Huntress, Gootloader’dan beklenmeyen indirmeler gibi erken işaretleri izlemenizi tavsiye ediyor web tarayıcılarıbaşlangıç konumlarındaki alışılmadık kısayollar, tarayıcıdan gelen ani PowerShell veya komut dosyası etkinliği ve alışılmadık giden proxy benzeri bağlantılar.
Aracılığıyla Hacker Haberleri
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.