Gootloaderマルウェアが7ヶ月ぶりに復活
Gootloaderマルウェアの運用が、7ヶ月間の休止期間を経て再び活動を開始しました。このマルウェアは、SEOポイズニングと呼ばれる手法を用いて、悪意のあるファイルを配布する偽のウェブサイトを検索エンジンの上位に表示させます。GootloaderはJavaScriptベースのマルウェアローダーであり、侵害されたウェブサイトや攻撃者が管理するウェブサイトを通じて拡散され、ユーザーを騙して悪意のあるドキュメントをダウンロードさせます。
過去のGootloaderの攻撃手法
以前のキャンペーンでは、Gootloaderは偽の掲示板を表示し、ユーザーの検索クエリに関連する議論が行われているように見せかけ、悪意のあるドキュメントテンプレートのダウンロードを推奨していました。その後、様々な法的文書の無料テンプレートを提供するウェブサイトに切り替わりました。「Get Document」ボタンをクリックすると、ユーザーが正当な訪問者であるかを確認した後、.js拡張子を持つ悪意のあるドキュメントを含むアーカイブがダウンロードされました。Gootloaderは実行されると、Cobalt Strike、バックドア、ボットなどの追加のマルウェアペイロードをダウンロードし、企業ネットワークへの初期アクセスを確立します。このアクセスは、ランサムウェアの展開や他の攻撃に利用されていました。サイバーセキュリティ研究者「Gootloader」氏の活動により、2025年3月31日に運用が一時停止されていました。
新たなGootloaderの攻撃手法
今回の新たなキャンペーンでも、Gootloaderは法的文書を装って拡散されています。数千ものユニークなキーワードが100以上のウェブサイトにわたって使用されており、その最終目標は、悪意のあるZIPアーカイブ(JScript (.JS) ファイルを含む)をダウンロードさせ、ランサムウェアの展開につながる初期アクセスを確立することです。この新しい亜種は、自動分析ツールやセキュリティ研究者の検出を回避するためのいくつかの巧妙な技術を使用しています。
特殊なWebフォントによる難読化
悪意のあるウェブサイトに追加されたJavaScriptは、特殊なWebフォントを使用して実際のファイル名を隠蔽します。HTMLソース上では意味不明なテキストに見えますが、ページがレンダリングされると、フォントのグリフ形状が入れ替わり、通常の単語が表示されるようになります。これにより、セキュリティソフトウェアや研究者がソースコード内で「invoice」や「contract」のようなキーワードを見つけることが困難になります。例えば、「Oa9Z±h•」という文字列が画面上では「Florida」と表示されるといった具合です。
不正なZipアーカイブによる検出回避
Gootloaderは、攻撃者が管理するウェブサイトからスクリプトを配布するために、不正に細工されたZipアーカイブを使用しています。これらのアーカイブは、Windows Explorerで抽出すると、悪意のあるJavaScriptファイル(例: Review_Hearings_Manual_2025.js)が抽出されるように設計されています。しかし、VirusTotal、Pythonのzipユーティリティ、または7-Zipで同じアーカイブを抽出すると、無害なテキストファイル(例: Review_Hearings_Manual_202.txt)が展開されます。これは、アーカイブが両方のファイルを含んでいるにもかかわらず、ツールによって異なる抽出結果になるように不正に構成されているためです。
Supper SOCKS5バックドアの利用
今回のキャンペーンでは、感染したデバイスにSupper SOCKS5バックドアがドロップされます。これはネットワークへのリモートアクセスを得るために使用されるマルウェアです。Supperバックドアは、ランサムウェアのアフィリエイトであるVanilla Tempestによって使用されていることが知られています。Vanilla Tempestは、Inc、BlackCat、Quantum Locker、Zeppelin、Rhysidaなどの著名なランサムウェアのアフィリエイトであったとされています。攻撃者は、デバイスが感染してからわずか20分以内に偵察を開始し、17時間以内にドメインコントローラーを侵害するなど、非常に迅速に行動することが確認されています。
企業と消費者が取るべき対策
Gootloaderが再び活動を開始したため、ウェブから法的合意書やテンプレートを検索・ダウンロードする際には、細心の注意を払う必要があります。これらの種類のテンプレートを提供することで知られている信頼できるウェブサイトでない限り、提供元が不明なウェブサイトは疑わしいものとして扱い、ダウンロードを避けるべきです。