GootLoader | Уровень угрозы: high | Тип: Loader

Криптографические идентификаторы

SHA25601812a0f68ccb64e1d1bf4dd7f329c2373ea7b7ba831a386d80f3e1b205fa400
MD537faffbf9559840ab26c368380015b7e
Тип файлаjs
Размер23052.6 KB
Первое обнаружение2024-05-15
Имя файлаfile2.js
МеткиGootLoader, js

Семейство вредоносного ПО: GootLoader

GootLoader, SEO zehirleme ile yayılır.

ТипLoader
Язык программированияJavaScript
Целевая платформаWindows
Протокол C2HTTPS
НазначениеSEO zehirleme loader
Год первого обнаружения2020
Другие названияGootKit

Индикаторы компрометации (IOC)

  • SHA256: 01812a0f68ccb64e1d1bf4dd7f329c2373ea7b7ba831a386d80f3e1b205fa400
  • MD5: 37faffbf9559840ab26c368380015b7e

Руководство по очистке системы

  1. Отключите систему от сети — загрузчик может скачивать другое вредоносное ПО
  2. Проанализируйте все загруженные полезные нагрузки
  3. Проанализируйте весь сетевой трафик и разорвите подозрительные соединения
  4. Выполните полное антивирусное сканирование
  5. Рассмотрите переустановку системы

Подсказки для YARA-правил

rule GootLoader_SHA256 {
    meta:
        description = "GootLoader sample: 01812a0f68ccb64e"
        threat_level = "high"
        first_seen = "2024-05-15"
    condition:
        hash.sha256(0, filesize) == "01812a0f68ccb64e1d1bf4dd7f329c2373ea7b7ba831a386d80f3e1b205fa400"
}

Gootloader — Профиль вредоносного ПО

GootLoader/GootKit v3 JavaScript loader. SEO zehirleme kampanyasi. Hukuki belge lurü. JScript dropper.

Тип вредоносного ПО
Loader
Язык программирования
JavaScript
C2 Протокол
HTTPS
Целевые системы
Windows
Другие названия (AKA)
GootKit

Технические детали

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Возможности и поведение

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Список IOC (2 индикаторов)

IOC — GootLoader
# SHA256 01812a0f68ccb64e1d1bf4dd7f329c2373ea7b7ba831a386d80f3e1b205fa400 # MD5 37faffbf9559840ab26c368380015b7e
ТипЗначениеПримечание
sha256 01812a0f68ccb64e1d1bf4dd7f329c2373ea7b7ba831a386d80f3e1b205fa400
md5 37faffbf9559840ab26c368380015b7e

C2 Серверы (3 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
23.227.203.68 ip 443 HTTPS active US
216.122.229.106 ip 443 HTTPS inactive US
login.itwrx.com domain 443 HTTPS inactive US

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
gootloaderloadermalwarehighsha256analizzenginleştirilmiş