Gootloader

Gootloader - это троянский загрузчик, входящий в семейство Gootkit. Gootloader может устанавливать на компьютер другие угрозы или собирать информацию. Пользователи должны защищать свои ПК с помощью специальных служб защиты от вредоносных программ для удаления Gootloader и избегать загрузки необычных ZIP-архивов, полученных в результате поиска Google, которые в настоящее время являются вектором заражения трояна.

Google ищет путь к неприятностям

К настоящему времени Google является настолько доминирующей поисковой службой в Интернете, что даже его название является синонимом поиска в Интернете результатов поиска по сайту и ответов на вопросы. Злоумышленник, имеющий доступ к семейству троянцев Gootkit, превращает эту известность в преимущество черного рынка, вооружая алгоритм получения результатов поиска Google. Для некоторых незадачливых пользователей ответом на их вопрос является Gootloader, троянский загрузчик.

Gootloader тесно связан с Gootkit , семейством банковских троянцев, которые похищают банковские счета для сбора денег. Однако Gootloader также может устанавливать другие угрозы, такие как троянские программы, блокирующие файлы, которые также имеют большое значение в его полезной нагрузке. Gootloader и другие участники Gootkit зависят от Windows и в основном используют JavaScript.

Кампания Gootloader распространяет угрозу, взламывая веб-сайты законных предприятий неизвестными методами, такими как использование уязвимостей устаревшего программного обеспечения или подбор логинов. Затем злоумышленники добавляют на эти сайты поддельные сообщения на форумах с загрузками в формате ZIP. Предполагается, что ZIP-файлы отвечают на узкоспециализированные вопросы, не имеющие никакого отношения к собственному содержанию сайта - например, ответ на вопрос о страховании жилья на медицинском веб-сайте. Эксперты по вредоносному ПО предупреждают, что пользователи, которые по умолчанию выполняют поиск в Google, подвергаются высокому риску подвергнуться загрузке ZIP-файлов, которые изменяют свои имена в соответствии с языковыми параметрами жертвы.

Прекращение поиска наихудшими возможными ответами

Пользователи должны с подозрением относиться к результатам поиска, которые сразу же ведут к загрузкам или к контенту, не имеющему отношения к домену. Хотя многих атак можно избежать, оставаясь на авторитетных веб-сайтах, в кампании Gootloader захват веб-сайтов с высокой репутацией является настолько очевидным, что пользователям Google потребуются дополнительные меры предосторожности. Использование ZIP-архива также является подсказкой, поскольку многие угрозы используют сжатие архивов как одно из нескольких средств уклонения от технологии обнаружения угроз.

Стандартные риски от воздействия Gootloader или других вариантов Gootkit включают потерю паролей и других учетных данных, кражу банковских денег или зашифрованных и «заблокированных» файлов, которые злоумышленники будут удерживать для получения выкупа. Пользователи, которые включают расширения, имеют больше шансов идентифицировать расширение файла JavaScript "JS", что должно быть убедительным свидетельством злонамеренного характера загрузки. Резервное копирование также может предотвратить нанесение шифрованием значительного долгосрочного ущерба, но другие эффекты атак Gootloader в лучшем случае сомнительно обратимы.

Многие антивирусные продукты для Windows, которые сканируют соответствующие файлы ответов, должны обнаруживать и удалять Gootloader или при необходимости лечить компьютеры. Пользователи также должны знать, что троянец может отложить свое выполнение до частичной перезагрузки, что может затруднить попытки отслеживания времени и источника атаки.

Gootloader - мощный толчок для троянских программ Gootkit, с социальной инженерией и хорошо продуманным планом, лежащими в основе его технически сложного кода. В 2021 году даже знаменитый Google может стать поставщиком троянских программ, правда, временно.