- Malware Gootloader muncul kembali pada akhir Oktober 2025 setelah jeda selama sembilan bulan, digunakan untuk melancarkan serangan ransomware
- Disampaikan melalui JavaScript berbahaya yang tersembunyi di font web khusus, memungkinkan akses jarak jauh dan pengintaian secara diam-diam
- Terkait dengan Storm-0494 dan Vice Society; penyerang mencapai pengontrol domain dalam waktu kurang dari satu jam dalam beberapa kasus
Setelah cuti panjang selama sembilan bulan, perangkat lunak perusak dikenal sebagai Gootloader benar-benar kembali, mungkin digunakan sebagai batu loncatan menuju infeksi ransomware.
Laporan dari peneliti keamanan siber Huntress mengamati “banyak infeksi” dari tanggal 27 Oktober hingga awal November 2025. Sebelumnya, terakhir kali Gootloader terlihat adalah pada bulan Maret 2025.
Dalam kampanye baru, Gootloader kemungkinan besar dimanfaatkan oleh grup yang dikenal sebagai Storm-0494, serta operator hilirnya, Vanilla Tempest (juga dikenal sebagai Vice Society), sebuah ransomware Kelompok ini pertama kali melakukan observasi pada pertengahan tahun 2021, dengan target utama pada sektor pendidikan dan layanan kesehatan, dan sesekali melakukan kunjungan ke sektor manufaktur.
Menyembunyikan malware di font khusus
Gootloader digunakan untuk mengirimkan JavaScript berbahaya dari situs web yang disusupi, jelas para peneliti. Skrip ini menginstal alat yang memberi penyerang akses jarak jauh ke mesin Windows perusahaan, dan memungkinkan tindakan lanjutan, seperti pengambilalihan akun, atau penerapan ransomware.
Gootloader menyembunyikan nama file berbahaya dan instruksi pengunduhan di dalam font web khusus (WOFF2) sehingga halaman terlihat normal di browser tetapi menampilkan teks tidak berarti dalam HTML mentah. Ketika korban membuka halaman yang disusupi, browser menggunakan font tersebut untuk menukar karakter yang tidak terlihat atau diacak dengan karakter yang dapat dibaca, sehingga mengungkapkan link download dan nama file yang sebenarnya hanya ketika dirender.
Tujuan dari kampanye ini adalah untuk mendapatkan akses awal yang andal, memetakan dan mengontrol jaringan target dengan cepat, dan kemudian menyerahkan akses tersebut kepada operator ransomware. Keseluruhan proses dilakukan secepat mungkin, sebagian besar melalui alat pengintaian otomatis dan kendali jarak jauh yang membantu mengidentifikasi target bernilai tinggi, membuat akun istimewa, dan bersiap menghadapi ransomware.
Dalam beberapa kasus, Huntress menambahkan, penyerang mencapai pengontrol domain dalam beberapa jam. Pengintaian otomatis awal sering kali dimulai dalam 10-20 menit setelah JavaScript berbahaya dijalankan, dan dalam beberapa insiden, operator mencapai akses pengontrol domain hanya dalam waktu 17 jam. Setidaknya di satu lingkungan, mereka mencapai pengontrol domain dalam waktu kurang dari satu jam.
Untuk bertahan melawan Gootloader, Huntress menyarankan untuk memperhatikan tanda-tanda awal seperti unduhan yang tidak terduga dari browser webpintasan asing di lokasi startup, aktivitas PowerShell atau skrip tiba-tiba yang datang dari browser, dan koneksi keluar seperti proxy yang tidak biasa.
Melalui Berita Peretas
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
