ZIP который притворяется текстом. GootLoader вернулся и распространяется через абсурдные поисковые запросы

Вредоносный загрузчик GootLoader, ранее связанный с распространением программ-вымогателей, снова активизировался — об этом сообщили специалисты из Huntress, зафиксировавшие три новых случая заражения с конца октября. В двух эпизодах злоумышленники сумели получить контроль над доменными контроллерами менее чем за сутки после проникновения. Этот инструмент применяется кибергруппировкой Hive0127 (она же UNC2565) и традиционно распространяется через заражённые сайты WordPress, в том числе благодаря техникам SEO-отравления.

Новая волна активности выделяется необычным приёмом маскировки: теперь вредонос внедряет на скомпрометированные страницы кастомный шрифт WOFF2 с подменой символов, что позволяет скрывать настоящие имена файлов. Пользователь, копируя название ZIP-архива или просматривая код страницы, видит лишь набор бессмысленных знаков. Однако в браузере благодаря встроенному шрифту эти символы визуально преобразуются в понятные наименования — например, «Florida_HOA_Committee_Meeting_Guide.pdf». Кодировка шрифта реализована через механизм Z85, сжимающий 32 КБ до 40 КБ и встраивающийся прямо в JavaScript.

ZIP-архив, который получают жертвы, также подвергается модификации: при анализе с помощью популярных утилит, таких как VirusTotal, Python-модули или 7-Zip, он отображается как обычный текстовый документ. Однако при извлечении через проводник Windows в папке оказывается полноценный JavaScript-файл, содержащий основной вредоносный код. Такой обход анализаторов позволяет атакующим выиграть время и отложить выявление угрозы.

Скрипт разворачивает модуль Supper — это бэкдор, способный устанавливать подключение по протоколу SOCKS5 и обеспечивать удалённый доступ. В ходе одной из атак была зафиксирована эскалация привилегий с помощью встроенного инструмента Windows Remote Management: злоумышленники создали учётную запись администратора и проникли в контроллер домена. Supper использует навязчивое шифрование и динамическую генерацию shell-кода для сокрытия своего назначения, однако выполняет сравнительно простые функции, сосредоточенные на проксировании и удалённом управлении.

Ранее Microsoft уже отмечала, что заражения GootLoader часто становятся первым этапом в цепочке атак, после чего управление передаётся другому участнику преступной инфраструктуры — Storm-0494. Тот, в свою очередь, применяет утилиты Supper и AnyDesk, после чего может быть задействован шифровальщик INC. Дополнительно упоминается связь Supper с другим вредоносом — Interlock RAT, на который опирается Interlock-шифровальщик. Возможно пересечение с операциями группировки Vice Society.

Характерной особенностью последней кампании стало использование ключевых поисковых запросов вроде «missouri cover utility easement roadway» в Bing. С их помощью жертвы перенаправляются на взломанные сайты WordPress, где размещены архивы с вредоносным содержимым. В начале 2025 года похожую тактику применяли и при атаке через объявления Google Ads, заманивая пользователей, ищущих шаблоны юридических документов.