В сети активизировался опасный загрузчик Gootloader, использующий сложную схему социальной инженерии и SEO-манипулирования для распространения вредоносного ПО. Как отмечает руководитель лаборатории исследований кибербезопасности «Газинформсервиса» Вадим Матвиенко, Gootloader крайне сложно обнаружить и требует специальных инструментов для быстрого обнаружения и реагирования.

Семейство вредоносных программ Gootloader использует особую форму социальной инженерии для заражения компьютеров: его разработчики взламывают веб-сайты WordPress и используют их для фальсификации результатов поиска Google. Поддельная ссылка позволяет пользователям увидеть поддельный форум с симулированным разговором, задающим тот же вопрос, который они искали в Google. Этот фальшивый диалог содержит ссылку на вредоносное ПО. Процесс заражения контролируется кодом, который работает как на взломанном сайте, так и на «материнском» сервере, динамически генерируя страницу с вредоносным содержимым.

«Злоумышленники разработали вредоносное ПО Gootloader, которое может долгое время оставаться незамеченным экспертами по кибербезопасности. Злоумышленники внедрили вредоносное ПО на законные веб-сайты, созданные на платформе WordPress. Эти веб-сайты появляются первыми в результатах поиска Google и содержат ссылку на фишинговый форум. Доска объявлений создается динамически в зависимости от запросов пользователей в строке поиска Google. Это очень необычный способ проведения атак. Их трудно исследовать и обнаружить. Инструменты поведенческого анализа помогают выявить новые угрозы». — отмеченный Вадим Матвиенко.