网络安全研究人员发现,Gootloader恶意软件活动再度活跃,其采用精妙的新型规避技术,通过操纵ZIP压缩包来规避检测与分析。
此次威胁的发现归功于安全研究员RussianPanda与Hackress团队,他们确认该活动正通过遭入侵的网站积极攻击受害者。
尽管今年早些时候曾遭到打击,但Gootloader背后的威胁行为体已携强化战术卷土重来,显示出其维持这一长期运营活动的决心。
该恶意软件继续利用以法律术语为中心的社会工程学诱饵,诱骗毫无戒心的用户下载恶意负载,这些负载作为后续攻击的初始接入向量,往往最终导致勒索软件部署。
五年多来,Gootloader运营者始终围绕法律主题关键词(包括”合同”、”表格”和”协议”)构建其攻击方法,这些词汇天然吸引商务人士和法律研究者。
当前活动显著扩展了此方法,通过超过100个被入侵网站分发数千个独特搜索关键词,以撒下更大的网捕捉潜在受害者。
攻击链始于受害者搜索合法法律文件时接触到这些被入侵网站。
威胁行为体采用精密的门控系统,根据地理位置、操作系统、来源网站和访问时间等多种条件决定向不同访客显示的内容。
未满足特定条件(例如在工作时间通过搜索引擎从英语国家使用Windows系统访问)的用户,会看到看似无害的博客内容——这些内容通常由人工智能工具生成。
然而,符合目标画像的受害者则会目睹页面剧变。原本无害的网页会重新绘制自身,模仿合法的法律资源网站,有时甚至冒充知名机构。
一个显著案例是创建虚假的”耶鲁法律期刊”页面,攻击者在此运用Unicode字符替换技术,用视觉上相同的西里尔字母替代拉丁字母,从而规避基础检测机制。
这些欺诈页面显示多种可下载资源,包括PDF、文档、视频和图像,这些内容在语境上与受害者原始搜索查询高度相关。此Gootloader变种最重大的进化在于新型ZIP文件操纵技术,该技术会根据使用的解压工具产生不同结果。
当通过大多数受害者使用的默认文件管理器Windows资源管理器处理时,压缩包会正确提取带.JS扩展名的恶意JScript文件——即预期负载。
这种具有双重人格的ZIP文件构成了有效的时间拖延机制,使得恶意文件能够规避依赖非Windows解压工具的自动化安全扫描器和沙箱分析环境。
待安全团队识别出实际负载行为时,恶意软件可能已在受害者系统建立持久化并开启下一阶段操作。
然而,使用行业标准工具(包括VirusTotal、Python的zipfile库或7-Zip)分析同一压缩包的安全研究人员,则会遇到完全不同的内容:看似无害的文本文件,从而掩盖了压缩包的真实恶意性质。Gootloader的持久化方法也经历了显著改进。先前变种依赖计划任务确保负载在系统重启后仍能执行——这种技术已被终端检测方案广泛识别。
当前版本实施了更为复杂的多阶段方法,旨在增加取证分析和修复工作的难度。
感染过程现在会投放两个功能互补的独立LNK快捷方式文件。第一个快捷方式嵌入用户的启动文件夹,确保用户登录Windows账户时自动执行。
该主快捷方式并非直接启动恶意负载,而是引用战略性放置在AppData目录结构中的第二个LNK文件,使其在常规检查中更不易被发现。
此二级快捷方式作为实际负载启动器,执行初始感染过程中投放的另一个JavaScript文件。
更复杂的是,Gootloader会创建使用Ctrl+Alt组合随机字母的自定义键盘快捷键,用于手动触发二级LNK文件。
在初始感染序列中,恶意软件通过程序模拟这些击键组合以无需用户交互即启动执行,为操作增添了又一重隐蔽层。Gootloader携增强能力回归印证了网络安全领域的一个基本挑战:成功的打击行动很少能永久消除顽固的威胁行为体,反而会迫使其进行战术进化。
该活动运营者持续展现其在绕过安全控制、维持操作安全以及通过高度情境化社会工程学欺骗用户方面的技术创造力。
调查潜在Gootloader感染的组织和安全专业人员应优先检查在不同工具中呈现不一致解压行为的ZIP压缩包——这是该活动独特规避技术的明确指标。
此外,监控启动文件夹和AppData目录中异常的LNK文件放置,结合对意外计划任务或自定义热键配置的警惕,有助于在攻击者推进至后续目标(包括勒索软件部署)前识别已失陷系统。
发表评论
您还未登录,请先登录。
登录