Gootloader 악성코드 로더가 7개월 만에 다시 활동을 시작하였습니다. 이번에는 다시 SEO 독성을 이용하여 악성코드를 배포하는 가짜 웹사이트를 홍보하고 있습니다. Gootloader는 손상된 또는 공격자가 제어하는 웹사이트를 통해 퍼져나가는 자바스크립트 기반의 악성코드 로더로, 사용자들을 속여 악성 문서를 다운로드하게 만듭니다. 이러한 웹사이트들은 광고를 통하거나 특정 키워드에 대한 검색 결과에서 웹사이트의 순위를 높이는 검색 엔진 최적화(SEO) 독성을 통해 검색 엔진에 홍보됩니다.
과거에는 이러한 웹사이트들이 사용자의 질문을 논의하는 가짜 메시지 보드를 표시하였습니다. 일부 게시물들은 다운로드할 수 있는 (악성) 문서 템플릿을 추천하였습니다. SEO 캠페인은 이후 다양한 법적 문서의 무료 템플릿을 제공하는 척 하는 웹사이트를 사용하도록 전환하였습니다. 방문자가 "문서 받기" 버튼을 클릭하면, 사이트는 그들이 합법적인 사용자인지 확인하고, 그렇다면 .js 확장자를 가진 악성 문서를 포함하는 아카이브를 다운로드하였습니다. 예를 들어, 아카이브에는 mutual_non_disclosure_agreement.js라는 파일이 포함될 수 있습니다. Gootloader는 문서를 실행할 때 실행되며, Cobalt Strike, 백도어, 봇 등 추가 악성코드 페이로드를 장치에 다운로드하였습니다. 다른 위협 행위자들은 이러한 접근을 이용하여 랜섬웨어를 배포하거나 다른 공격을 수행하였습니다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.