- Gootloader-malware dook eind oktober 2025 na een onderbreking van negen maanden weer op en werd gebruikt om ransomware-aanvallen uit te voeren
- Geleverd via kwaadaardig JavaScript verborgen in aangepaste weblettertypen, waardoor heimelijke toegang op afstand en verkenning mogelijk is
- Gekoppeld aan Storm-0494 en Vice Society; in sommige gevallen bereikten aanvallers de domeincontrollers binnen een uur
Na een sabbatical van negen maanden is de malware die bekend staat als Gootloader echt terug en wordt mogelijk gebruikt als opstapje naar ransomware-infecties.
Een rapport van cyberbeveiligingsonderzoekers Huntress observeerde “meerdere infecties” van 27 oktober tot begin november 2025. Daarvoor was de laatste keer dat Gootloader werd gezien in maart 2025.
In de nieuwe campagne werd Gootloader hoogstwaarschijnlijk gebruikt door een groep die bekend staat als Storm-0494, evenals door zijn downstream-operator, Vanilla Tempest (ook bekend als Vice Society), een ransomwaregroep die voor het eerst werd waargenomen medio 2021 en zich voornamelijk richtte op de sectoren onderwijs en gezondheidszorg, met af en toe uitstapjes naar de productie.
Malware verbergen in aangepaste lettertypen
Gootloader werd gebruikt om kwaadaardig JavaScript van gecompromitteerde websites af te leveren, legden de onderzoekers uit. Het script installeert tools waarmee aanvallers op afstand toegang krijgen tot zakelijke Windows-machines en vervolgacties mogelijk maken, zoals het overnemen van accounts of het inzetten van ransomware.
Gootloader verborg kwaadaardige bestandsnamen en downloadinstructies in een aangepast weblettertype (WOFF2), zodat de pagina er normaal uitzag in een browser, maar betekenisloze tekst in de onbewerkte HTML liet zien. Toen een slachtoffer de besmette pagina opende, gebruikte de browser het lettertype om onzichtbare of gecodeerde tekens te verwisselen voor leesbare tekens, waardoor de echte downloadlink en bestandsnaam pas zichtbaar werden wanneer ze werden weergegeven.
Het doel van de campagne is om betrouwbare initiële toegang te verkrijgen, doelnetwerken snel in kaart te brengen en te controleren en de toegang vervolgens over te dragen aan ransomware-exploitanten. Het hele proces wordt zo snel mogelijk uitgevoerd, meestal via geautomatiseerde verkennings- en afstandsbedieningstools die helpen bij het identificeren van waardevolle doelen, het aanmaken van geprivilegieerde accounts en het voorbereiden op ransomware.
In sommige gevallen, zo voegde Huntress toe, bereikten de aanvallers binnen enkele uren de domeincontrollers. De eerste geautomatiseerde verkenning begint vaak binnen 10 tot 20 minuten nadat het kwaadaardige JavaScript is uitgevoerd, en bij verschillende incidenten kregen operators binnen slechts 17 uur toegang tot de domeincontroller. In ten minste één omgeving bereikten ze binnen een uur een domeincontroller.
Ter bescherming tegen Gootloader adviseert Huntress te letten op vroege signalen, zoals onverwachte downloads van webbrowsers, onbekende snelkoppelingen op opstartlocaties, plotselinge PowerShell- of scriptactiviteit vanuit de browser en ongebruikelijke uitgaande proxy-achtige verbindingen.
Via Het hackernieuws
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En dat kan natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons WhatsAppen te.
