详细内容或原文请订阅后点击阅览
GootLoader 3:西装特洛伊木马
更新后的恶意软件通过业务文件渗透公司。
来源:安全实验室新闻频道更新后的恶意软件通过业务文件渗透公司。
攻击者积极使用名为 GootLoader 的恶意软件向受感染的设备传送其他恶意软件。
正如 Cybereason 在最近的分析中报告的那样,GootLoader 的更新导致了该恶意软件的多个变体的出现,其中 GootLoader 3 目前正在积极使用,尽管细节发生了变化,但该恶意软件的感染策略和整体功能仍然类似于。当它于 2020 年首次开始运营时。
网络原因 最近分析,GootLoader 本身是一个恶意软件加载程序,是 Gootkit 银行木马的一部分。它与 Hive0127 组(也称为 UNC2565)密切相关。该软件使用 JavaScript 加载后利用工具,并使用 SEO 中毒进行分发。
JavaScriptGootLoader 通常用于传送各种恶意软件,例如 Cobalt Strike、Gootkit、IcedID、Kronos、REvil 和 SystemBC。而几个月前,GootLoader背后的攻击者还发布了自己的命令控制和横向移动工具GootBot,表明他们正在扩大活动范围以获取更大的经济利益。
攻击链涉及危害网站,以合法文档和协议为幌子托管恶意 GootLoader JavaScript 代码。在 Windows 中运行此类文件时,系统会创建一个计划任务来维持感染的持续性,并执行一个额外的 PowerShell 脚本来收集有关系统的信息并等待进一步的指令。
PowerShell使用GootLoader的完整攻击方案
使用 GootLoader