A Gootloader malware egy JavaScript-alapú kártevőbetöltő, amely 7 hónapos szünet után ismét aktívvá vált, és SEO mérgezést (SEO poisoning) alkalmazva hamis weboldalakat népszerűsít, hogy kártékony dokumentumokat terjesszen. Ez a visszatérés újra veszélybe sodorja a felhasználókat és vállalati hálózatokat, akik jogi dokumentumokat vagy szerződésmintákat keresnek az interneten.
Mi az a Gootloader és hogyan működik?
A Gootloader egy olyan kártevőbetöltő, amely JavaScript alapú fájlokat használ, és főként kompromittált vagy támadó által irányított weboldalakon keresztül terjed. A támadók célja, hogy megtévesszék a felhasználókat, és rávegyék őket rosszindulatú dokumentumok letöltésére.
Ezeket a weboldalakat keresőmotorokban hirdetések vagy SEO mérgezés segítségével népszerűsítik. Az SEO mérgezés során a támadók úgy manipulálják a keresési eredményeket, hogy bizonyos kulcsszavakra – például „jogi dokumentumok” vagy „szerződésminták” – ezek a hamis oldalak előkelő helyen jelenjenek meg.
Hamis jogi dokumentumokat kínáló oldalak és működésük
A korábbi kampányokban ezek az oldalak hamis fórumokat jelenítettek meg, amelyek úgy tűntek, mintha a felhasználók kérdéseit vitatnák meg. Egyes hozzászólásokban pedig rosszindulatú dokumentummintákat ajánlottak letöltésre.
Később az oldalakat úgy alakították át, hogy ingyenes jogi dokumentum- és szerződésmintákat kínáljanak. Amikor egy látogató rákattintott a „Dokumentum letöltése” gombra, az oldal ellenőrizte a felhasználó valódiságát, majd letöltött egy ZIP archívumot, amely egy .js kiterjesztésű rosszindulatú JavaScript fájlt tartalmazott – például mutual_non_disclosure_agreement.js.
A fertőzés folyamata és következményei
Amikor a felhasználó megnyitotta ezt a dokumentumot, a Gootloader elindult, majd további kártevőket töltött le az eszközre. Ezek között szerepeltek például:
- Cobalt Strike eszközök
- hátsó ajtók (backdoor-ok)
- botnet kliensek
Ezek az eszközök lehetőséget adtak a támadóknak arra, hogy elsődleges hozzáférést szerezzenek vállalati hálózatokhoz. Ezt követően más fenyegető szereplők ransomware (zsarolóvírus) telepítésére vagy további támadások végrehajtására használták ki ezt az elérést.
A Gootloader visszatérése és kutatói tevékenységek
Egy „Gootloader” álnéven tevékenykedő kiberbiztonsági kutató évek óta figyelemmel kíséri és aktívan akadályozza ezt a malware műveletet. Az ISP-knek és tárhelyszolgáltatóknak küldött visszaéléseket jelentő bejelentéseivel sikerült 2025. március 31-én hirtelen leállítaniuk a Gootloader működését.
Azonban most új kampány indult: Anna Pham (Huntress Labs) és a kutató friss jelentése szerint ismét megjelentek azok az oldalak, amelyek jogi dokumentumokat utánoznak. Több mint 100 weboldalon több ezer egyedi kulcsszóval futnak ezek a kampányok.
“A végső cél továbbra is ugyanaz: áldozatokat rávenni arra, hogy letöltsenek egy rosszindulatú ZIP archívumot, amely JScript (.JS) fájlt tartalmaz, ami kezdeti hozzáférést biztosít további káros tevékenységekhez – jellemzően ransomware telepítéshez.”
Új technikák az elemzés megnehezítésére
A kutatók szerint az új változat több trükköt is alkalmaz annak érdekében, hogy elkerülje az automatikus elemző eszközöket és biztonsági szakembereket:
- Különleges webfont használata: A rosszindulatú weboldalak JavaScript-je speciális betűtípust alkalmaz, amely helyettesíti a betűket hasonló kinézetű szimbólumokkal. Így az HTML forráskód értelmetlen karaktereket tartalmaz, de amikor megjelenik a böngészőben, normál szavakat mutat – például „invoice” vagy „contract”. Ez megnehezíti a kulcsszavak felismerését biztonsági szoftverek számára.
- Malformált ZIP archívumok: A Gootloader olyan ZIP fájlokat használ, amelyek eltérően viselkednek különböző kicsomagoló programok alatt. Például Windows Explorerrel kicsomagolva egy rosszindulatú .js fájl kerül elő, míg VirusTotal vagy 7-Zip alatt csak ártalmatlan szöveges fájl jelenik meg. Ez megtéveszti az elemző eszközöket.
A Supper SOCKS5 hátsó ajtó és további fenyegetések
A kampány során a fertőzött eszközökre telepítik a Supper SOCKS5 backdoor-t is. Ez egy távoli hozzáférést biztosító kártevő, amely lehetővé teszi a támadók számára az eszközök távoli irányítását.
Ezt a backdoor-t egy ismert ransomware csoport affiliate-je használja, akit Vanilla Tempest néven ismernek. Ez a csoport több zsarolóvírus kampányban vett részt korábban is (Inc., BlackCat, Quantum Locker, Zeppelin és Rhysida). A Huntress Labs által megfigyelt támadások során az infiltráció után mindössze 20 perc alatt elkezdődött az információgyűjtés, és kevesebb mint 17 óra alatt sikerült kompromittálniuk egy Domain Controller-t.
Mire figyeljünk? Hogyan védekezzünk?
Fontos tanulság: A Gootloader visszatérése miatt fokozott óvatosság szükséges minden olyan esetben, amikor jogi szerződésmintákat vagy hasonló dokumentumokat keresünk online.
- Csak megbízható forrásból töltsünk le dokumentumokat! Ha nem ismerjük jól az adott weboldalt vagy szolgáltatót, inkább kerüljük el azt.
- Keresési eredményeknél legyünk gyanakvóak! A hirdetésekre kattintás előtt ellenőrizzük alaposan az oldal hitelességét.
- Használjunk naprakész vírusvédelmi szoftvert! Az automatikus védelem segíthet kiszűrni sok kártékony fájlt.
- Képzés és tudatosság: Oktassuk munkatársainkat arról, hogy milyen veszélyeket rejthetnek ezek az oldalak.
Záró gondolatok
A Gootloader kampány újra bizonyítja, hogy a kiberbűnözők folyamatosan fejlesztik módszereiket annak érdekében, hogy megtévesszék áldozataikat és behatoljanak vállalati rendszerekbe. Az SEO mérgezés különösen veszélyes technika lehet azok számára, akik gyorsan szeretnének ingyenes jogi sablonokat találni anélkül, hogy alaposan ellenőriznék forrásukat.
Mivel az MCP (Model Context Protocol) szabvány egyre inkább elterjedt lesz LLM-ek (nagy nyelvi modellek) összekapcsolására különböző eszközökkel és adatokkal, a biztonsági csapatoknak gyorsan kell reagálniuk annak érdekében, hogy ezeket az új szolgáltatásokat is biztonságossá tegyék.
További segítségként elérhető egy ingyenes cheat sheet is 7 legjobb gyakorlattal – érdemes letölteni és alkalmazni ezeket már ma!