Опасный клик: Gootloader атакует через поддельные форумы

В сети активизировался опасный загрузчик Gootloader, использующий изощрённую схему социальной инженерии и SEO-манипуляции для распространения вредоносного ПО. Как отмечает руководитель лаборатории исследований кибербезопасности компании «Газинформсервис» Вадим Матвиенко, Gootloader чрезвычайно сложно обнаружить, и для быстрого детектирования и реагирования требуются специализированные инструменты, такие как Ankey ASAP.

Семейство вредоносных программ Gootloader использует особую форму социальной инженерии для заражения компьютеров: его создатели взламывают веб-сайты на платформе WordPress, и с помощью этого подменяют результаты поиска Google. По ложной ссылке пользователи видят поддельный форум с имитацией разговора, где задаётся тот же вопрос, который они искали в Google. В этом фальшивом диалоге и содержится ссылка на вредоносное ПО. Процесс заражения управляется кодом, работающим как на взломанном сайте, так и на «материнском» сервере, динамически генерирующем страницу с вредоносным контентом.

«Злоумышленники разработали вредоносное программное обеспечение Gootloader, которое может долгое время оставаться незамеченным для специалистов по кибербезопасности. Злоумышленники внедрили вредоносное ПО в легальные сайты, созданные на платформе WordPress. Эти сайты появляются в поисковой выдаче Google на первых позициях и предоставляют ссылку на фишинговую доску объявлений. Доска объявлений создаётся динамически в зависимости от запросов пользователей в поисковой строке Google. Это очень необычный способ проведения атак. Их сложно исследовать и детектировать. Для обнаружения новых угроз помогают инструменты поведенческой аналитики, такие как Ankey ASAP», — отметил Вадим Матвиенко.