Хакеры наносят удар через Google Ads: юристы — главная цель

Атака, связанная с вредоносным ПО Gootloader, вновь на слуху — на этот раз злоумышленники выбрали более изощрённую тактику и разместили вредоносные объявления через платформу Google Ads. Основной целью стали юридические работники, ищущие шаблоны документов, в которых теперь сокрыт вредоносный JavaScript-файл.

Исследователь, специализирующийся на изучении активности Gootloader и ведущий блог «Gootloader Details», обнаружил , что для рассылки вредоносного кода используется рекламный аккаунт британской компании Med Media Group Ltd. По его словам, злоумышленники приобрели домен, оформили хостинг и настроили инфраструктуру через Cloudflare, тем самым замаскировав источник распространения.

На первый взгляд, реклама предлагает популярные юридические шаблоны — например, для соглашений о неразглашении. Пользователь попадает на сайт «lawliner[.]com», управляемый злоумышленниками. После перехода предлагается ввести адрес электронной почты, на который позже приходит письмо с якобы нужным документом.

Приложенный документ — это архив с файлом JavaScript, замаскированным под шаблон соглашения. После распаковки и запуска файл активирует вредоносный код, создающий запланированную задачу в системе. Эта задача запускает PowerShell-скрипт, собирающий информацию об устройстве: от названий процессов и файлов на рабочем столе до переменных окружения и доступного места на дисках.

Данные отправляются на десяток доменов, часть из которых — скомпрометированные блоги WordPress, перенаправляющие информацию на командный сервер хакеров . Остальные домены являются фальшивыми, имитирующими легитимные ресурсы, но участвующими в передаче данных злоумышленникам.

Ранее группировка уже применяла SEO-отравление: заражённые WordPress-сайты поднимались в поисковой выдаче по ключевым юридическим запросам. Однако теперь в ход пошли платные объявления, что увеличивает охват и позволяет точнее таргетировать жертв.

Юридическая сфера остаётся одной из самых привлекательных целей для подобных атак — компании хранят конфиденциальные данные клиентов, детали сделок, документы с подписями и контактную информацию высокопоставленных лиц. Утечка такой информации может быть использована как для шантажа, так и для вторичных атак.

Gootloader появился ещё в 2014 году как часть семейства GootKit. С 2020 года его активность заметно возросла, особенно в атакующих кампаниях, предшествующих вымогательскому ПО. Также вредоносная программа часто запускает дополнительный модуль GootBot, который расширяет возможности атакующего — например, позволяет загружать другое ПО или выполнять команды на заражённой машине.

Помимо юристов, в прошлом злоумышленники использовали SEO-отравление и против других целевых групп, включая неожиданные, как, например, любители бенгальских кошек в Австралии . В новых атаках ключевыми индикаторами компрометации стали домены «lawliner[.]com» и «skhm[.]org». Эксперты советуют блокировать их и отслеживать в сетевом трафике, а также проводить ретроспективный анализ активности, связанной с этими адресами.

Gootloader демонстрирует гибкость и адаптивность, что делает его особенно опасным. Смена методов распространения, собственная инфраструктура и целенаправленные атаки на юридическую отрасль указывают на высокую степень организации. Своевременное выявление подобных реклам и фильтрация опасных доменов остаются важными мерами защиты от таких угроз.