НаверхWordPress под ударом: GootLoader возвращается с коварным трюком
Вредоносное ПО прячется в шрифтах, маскирует файлы и инструкции, чтобы незаметно атаковать сайты пользователей.
14.11.2025
19:23
Основные идеи
Атаку Gootloader связывают с группой Storm‑0494/Vanilla Tempest
Вредоносный код маскируют внутри пользовательского веб‑шрифта
Автоматизированные инструменты позволяют быстро получить контроль над сетью
Для защиты важны ранние признаки: загрузки, ярлыки, активность PowerShell
Мнение автора
Новая кампания Gootloader показывает, насколько киберпреступники умеют быть скрытными и изобретательными. Маскировка вредоносного кода внутри пользовательских веб‑шрифтов — чистая магия, которую обычный глаз не заметит. Скорость их автоматизированных атак впечатляет: контроль над сетью можно получить за считанные часы, что делает раннюю диагностику жизненно важной. Любая организация без отслеживания необычной активности браузеров и скриптов рискует стать жертвой вымогателей.
После девятимесячного «отпуска» вредоносное ПО Gootloader снова появилось на сцене, и вернулось оно с нехитрым планом — помочь вирусам-вымогателям устроить настоящий хаос.
Исследователи Huntress зафиксировали «множественные заражения» с 27 октября до начала ноября 2025 года. Всё это напоминает кибер-хоррор: Gootloader прячется в веб-шрифтах через вредоносный JavaScript, крадёт доступ и собирает разведданные, а иногда злоумышленники умудряются добраться до контроллеров домена меньше чем за час. Связь с группами Storm-0494 и Vice Society лишь добавляет драматизма — как будто киберпреступники снова идут в атаку, не моргнув глазом.
Новую кампанию Gootloader, вероятно, провела группа Storm-0494 и ее оператор Vanilla Tempest, также известный как Vice Society. Это группа вымогателей, которую впервые обнаружили в середине 2021 года. В первую очередь она нацелена на сферы образования и здравоохранения, а иногда проникает и в сферу производства.
Скрытие вредоносного ПО в пользовательских шрифтах
Исследователи объяснили, что Gootloader доставлял вредоносный JavaScript-код со взломанных веб-сайтов. Скрипт устанавливает инструменты, которые дают злоумышленникам удаленный доступ к корпоративным компьютерам Windows. С их помощью можно выполнять последующие действия, например, захватывать учетные записи или развертывать программы-вымогатели.
Gootloader скрывал вредоносные имена файлов и инструкции по загрузке внутри пользовательского веб-шрифта (WOFF2). Поэтому страница выглядела нормально в браузере, но в необработанном HTML-коде показывала бессмысленный текст. Когда жертва открывала взломанную страницу, браузер использовал шрифт, чтобы заменить невидимые или зашифрованные символы на читаемые. Настоящая ссылка на скачивание и имя файла раскрывались только при визуализации.
Цель кампании — получить надежный первоначальный доступ, быстро составить карту и контролировать целевые сети, а затем передать доступ операторам программ-вымогателей. Весь процесс выполняют максимально быстро, в основном с помощью автоматизированных инструментов разведки и удаленного управления. Они помогают выявлять важные цели, создавать привилегированные учетные записи и готовиться к атакам программ-вымогателей.
В Huntress добавили, что в некоторых случаях злоумышленники достигали контроллеров домена в течение нескольких часов. Первичная автоматизированная разведка часто начинается в течение 10–20 минут после запуска вредоносного JavaScript. В нескольких случаях операторы получали доступ к контроллеру домена всего за 17 часов. В одной среде им удалось достичь контроллера домена менее чем за час.
Чтобы защититься от Gootloader, в Huntress советуют обращать внимание на ранние признаки. К ним относятся неожиданные загрузки из веб-браузеров, незнакомые ярлыки в папках автозагрузки, внезапная активность PowerShell или скриптов в браузере и необычные исходящие соединения, похожие на прокси.
Подпишитесь на наши новости: