عادت البرامج الضارة Gootloader بحيل جديدة بعد انقطاع دام 7 أشهر

عادت عملية تحميل البرامج الضارة Gootloader بعد غياب دام 7 أشهر، وهي تقوم مرة أخرى بعملية تسميم تحسين محركات البحث (SEO) للترويج لمواقع الويب المزيفة التي توزع البرامج الضارة.

Gootloader عبارة عن أداة تحميل برامج ضارة تعتمد على JavaScript وتنتشر عبر مواقع الويب المخترقة أو التي يتحكم فيها المهاجمون، وتستخدم لخداع المستخدمين لتنزيل مستندات ضارة.

يتم الترويج لمواقع الويب في محركات البحث إما عن طريق الإعلانات أو من خلال تحسين محركات البحث (SEO)، مما يؤدي إلى تصنيف موقع الويب في مرتبة أعلى في النتائج لكلمة رئيسية معينة، مثل المستندات والاتفاقيات القانونية.

“https://www.bleepstatic.com/c/w/wiz/AI-Data-Security-970×250.png” البديل=”Wiz”>

في الماضي، كانت مواقع الويب هذه تعرض لوحات رسائل زائفة تتظاهر بمناقشة استفسارات المستخدمين، مع توصية بعض المنشورات بنماذج مستندات (ضارة) يمكن تنزيلها. حملات تحسين محركات البحث (SEO).”https://gootloader.wordpress.com/2025/03/31/gootloader-returns-malware-hidden-in-google-ads-for-legal-documents/” الهدف=”_blank” rel=”nofollow noopener”> تحولت في وقت لاحق لاستخدام مواقع الويب التي تتظاهر بتقديم نماذج مجانية لمختلف المستندات القانونية.

عندما ينقر الزائر على “Get Document” يقوم الموقع بالتحقق مما إذا كان مستخدمًا شرعيًا، وإذا كان الأمر كذلك، يقوم بتنزيل أرشيف يحتوي على مستند ضار بامتداد .js. على سبيل المثال، يمكن أن يتضمن الأرشيف ملفًا باسم Mutual_non_disclosure_agreement.js.

سيتم تنفيذ Gootloader عند تشغيل المستند وتنزيل حمولات إضافية من البرامج الضارة على الجهاز، بما في ذلك Cobalt Strike والأبواب الخلفية والروبوتات التي توفر الوصول الأولي إلى شبكات الشركة. ثم استخدمت جهات التهديد الأخرى هذا الوصول لنشر برامج الفدية أو شن هجمات أخرى.

يعود برنامج Gootloader

باحث في الأمن السيبراني يعمل تحت اسم مستعار “ جوتلوادر” قامت بتتبع وتعطيل عمليات البرامج الضارة لسنوات من خلال تقديم تقارير إساءة الاستخدام إلى مزودي خدمة الإنترنت ومنصات الاستضافة لإزالة البنية التحتية التي يتحكم فيها المهاجم.

أخبر الباحث BleepingComputer أن أنشطته أدت إلى توقف عملية Gootloader فجأة في 31 مارس 2025.

ال”https://x.com/Gootloader/status/1986093875706925528″ الهدف=”_blank” rel=”nofollow noopener”>الباحث و”https://x.com/RussianPanda9xx/status/1986087168456987096″ الهدف=”_blank” rel=”nofollow noopener”> آنا فام أبلغت Huntress Labs الآن أن Gootloader قد عاد في حملة جديدة تنتحل مرة أخرى مستندات قانونية.

“In this latest campaign, we’ve observed thousands of unique keywords spread over 100 websites,”يقرأ أ”https://gootloader.wordpress.com/2025/11/05/gootloader-is-back-back-again/” الهدف=”_blank” rel=”nofollow noopener”> مشاركة مدونة جديدة بواسطة الباحث Gootloader.”The ultimate goal remains the same: convince victims to download a malicious ZIP archive containing a JScript (.JS) file that establishes initial access for follow-on activity — usually leading to ransomware deployment.”

ومع ذلك، يقول الباحثون إن هذا البديل الجديد يستخدم بعض التقنيات للتهرب من أدوات التحليل الآلي والباحثين الأمنيين.

وجدت Huntress أن JavaScript المضافة إلى مواقع الويب الضارة تخفي أسماء الملفات الحقيقية عن طريق استخدام خط ويب خاص يستبدل الحروف برموز متشابهة.

في مصدر HTML، ترى نصًا لا معنى له، ولكن عندما يتم عرض الصفحة، تعرض الأشكال الرسومية التي تم تبديلها بالخط كلمات عادية، مما يجعل من الصعب على برامج الأمان والباحثين العثور على كلمات رئيسية مثل “invoice” أو “contract” في الكود المصدري.

“Rather than using OpenType substitution features or character mapping tables, the loader swaps what each glyph actually displays. The font’s metadata appears completely legitimate—the character “يا” maps to a glyph named “يا”, the character “أ” maps to a glyph named “أ”, and so forth,” يشرح الصيادة.

“However, the actual vector paths that define these glyphs have been swapped. When the browser requests the shape for glyph “يا”, the font provides the vector coordinates that draw the letter “ف” instead. Similarly, “أ” draws “ل”, “9” draws “س”, and special Unicode characters like “±” draw “أنا”. The gibberish string Oa9Z±h• in the source code renders as “فلوريدا” on screen.”

الباحثون من”https://thedfirreport.com/” الهدف=”_blank” rel=”nofollow noopener”> تقرير DFIR اكتشف أيضًا أن Gootloader يستخدم أرشيفات Zip مشوهة لتوزيع البرامج النصية لـ Gootloader من مواقع الويب التي يتحكم فيها المهاجم.

تم تصميم هذه الأرشيفات بحيث أنه عند استخراج ملف ZIP الذي تم تنزيله باستخدام Windows Explorer، فإن ملف JavaScript الضار، Review_Hearings_Manual_2025.js، يتم استخراجه.

ومع ذلك، فإن نفس الأرشيف، عند استخراجه داخل VirusTotal، فإن أدوات Python المضغوطة، أو 7-Zip، ستقوم بفك ضغط ملف نصي غير ضار باسم Review_Hearings_Manual_202.txt.

كما ترون في الصورة أدناه لـ 010 Editor، يحتوي الأرشيف على كلا الملفين ولكنه مشوه، مما يؤدي إلى استخراجه بشكل مختلف اعتمادًا على الأداة المستخدمة.

من غير الواضح ما إذا كانت هذه هي نفس خدعة التسلسل”https://www.bleepingcomputer.com/news/security/hackers-now-use-zip-file-concatenation-to-evade-detection/” الهدف=”_blank” rel=”nofollow noopener”> الموصوفة في عام 2024 أو إذا كانوا يستخدمون تقنية جديدة لجعل Windows يستخرج ملف JS.

أخيرًا، تقوم الحملة بإسقاط الباب الخلفي Supper SOCKS5 على الأجهزة، والذي يُستخدم للوصول عن بعد إلى الشبكة.

إن Supper backdoor عبارة عن برنامج ضار يوفر إمكانية الوصول عن بعد إلى الأجهزة المصابة ومن المعروف أنه يتم استخدامه بواسطة أ”https://www.bleepingcomputer.com/news/microsoft/microsoft-vanilla-tempest-hackers-hit-healthcare-with-inc-ransomware/” الهدف=”_blank” rel=”nofollow noopener”>تم تتبع برنامج الفدية التابع باسم Vanilla Tempest.

يمتلك ممثل التهديد هذا تاريخًا طويلًا في شن هجمات برامج الفدية ويُعتقد أنه كان تابعًا لشركة Inc وBlackCat وQuantum Locker وZeppelin وRhysida.

وفي الهجمات التي لاحظتها Huntress، تحرك ممثل التهديد بسرعة بمجرد إصابة الجهاز، وقام بالاستطلاع في غضون 20 دقيقة، وفي النهاية أدى إلى اختراق وحدة التحكم بالمجال في غضون 17 ساعة.

مع عودة Gootloader إلى العمل الآن، يجب على المستهلكين ومستخدمي الشركات توخي الحذر عند البحث عن الاتفاقيات والقوالب القانونية وتنزيلها من الويب.

ما لم يكن الموقع معروفًا بتقديم هذه الأنواع من القوالب، فيجب التعامل معه بعين الشك وتجنبه.