- Malware Gootloader muncul kembali menggunakan malvertising dan keracunan SEO untuk menyebarkan infeksi
- Penyerang kini mengaburkan nama malware menggunakan font web yang menipu dan pertukaran mesin terbang
- Loader mengirimkan ransomware, pencuri informasi, dan Cobalt Strike melalui hasil pencarian yang disusupi
Penipuan malware Gootloader, yang diperkirakan telah diganggu dan ditutup pada Maret 2025, telah kembali dengan trik lama dan baru, demikian peringatan para ahli.
Gootloader dikenal menggunakan malvertising dan seo keracunan untuk mendistribusikan malware. Penjahat dunia maya akan membuat situs web, atau menyusup ke situs web yang sah, dan mengatur ulang situs tersebut untuk menampung dokumen yang berbeda, seperti templat NDA. Kemudian mereka akan membeli iklan di jaringan iklan populer, atau terlibat dalam keracunan SEO – membuat artikel web yang tak terhitung jumlahnya dan mengisinya dengan kata kunci yang menghubungkan kembali ke situs yang mereka kendalikan.
Analis dari Huntress Labs mengklaim telah melihat ratusan situs web yang menghosting perangkat lunak perusakmencatat kombinasi dari dua praktik ini berarti ketika orang mencari istilah yang berbeda, situs web berbahaya ini akan muncul di bagian paling atas hasil mesin pencari, bukan halaman sah yang sebenarnya, sehingga meningkatkan kemungkinan kompromi.
Teknik kebingungan
Kampanye ini secara efektif dihentikan pada bulan Maret 2025, setelah tekanan terus-menerus dari peneliti keamanan terhadap ISP dan platform hosting mengakibatkan penghapusan infrastruktur para penyerang.
Kini, setelah jeda setengah tahun, Gootloader kembali, menggunakan teknik yang sama untuk menyebarkan loader yang, pada gilirannya, melayani berbeda ransomwarepencuri informasi, atau suar Cobalt Strike.
Perbedaan terbesar terletak pada teknik kebingungan baru, kata para peneliti. Dengan menggunakan JavaScript, penyerang akan menyembunyikan nama file sebenarnya dari malware tersebut, dengan menggunakan font web khusus yang menggantikan karakter dengan simbol yang terlihat sama. Dalam sumber HTML, peneliti mungkin melihat omong kosong, tetapi ketika halaman dirender, simbol akan menampilkan kata-kata normal.
“Daripada menggunakan fitur substitusi OpenType atau tabel pemetaan karakter, loader menukar apa yang sebenarnya ditampilkan oleh setiap mesin terbang. Metadata font tampak benar-benar sah—karakter “O” dipetakan ke mesin terbang bernama “O”, karakter “a” dipetakan ke mesin terbang bernama “a”, dan seterusnya,” kata Huntress.
“Namun, jalur vektor sebenarnya yang menentukan mesin terbang ini telah ditukar. Saat browser meminta bentuk untuk mesin terbang “O”, font menyediakan koordinat vektor yang menggambar huruf “F”. Demikian pula, “a” menggambar “l”, “9” menggambar “o”, dan karakter Unicode khusus seperti “±” menggambar “i”. String omong kosong Oa9Z±h• dalam kode sumber ditampilkan sebagai “Florida” di layar.”
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
