GootLoader кайра келди, WordPress сайттарында зыяндуу программаларды жашыруу үчүн жаңы шрифт трюгун колдонууда

GootLoader кайра ишке киришти, жана бул жолу ал компромисске учураган WordPress сайттарында зыяндуу программаларды жашыруу үчүн жаңы айлакер шрифт обфускация трюгун колдонууда. Huntress 2025-жылдын 27-октябрынан бери үч жаңы инфекцияны байкады — жана алардын экөө 17 сааттан аз убакыт ичинде домен контроллерунун толук компромисске учурашына алып келди. Ооба, ушунчалык тез.

Зыяндуу программалар тобу алардын классикалык SEO ууландыруу оюн китебин колдонууда — курмандыктарды зыяндуу JavaScript файлдарын жүктөөгө азгыруу үчүн издөө натыйжаларында жалган форумдарды көтөрүү. Бирок азыр алар жогору көтөрүлдү: пайдалуу жүктөөлөр взломдалган WordPress сайттарындагы шрифт файлдарынын ичинде жашырылган, бул негизги коопсуздук сканерлери үчүн аныктоону андан деле кыйындатат.

Ичине киргенден кийин, GootLoader Cobalt Strike маяктар сыяктуу экинчи даражадагы пайдалуу жүктөөлөрдү түшүргөн көп баскычтуу чабуул чынжырын жайгаштырат, бул вымогательство программасына, маалымат уурдоого же тармакты толук башкарууга алып келет. Huntress байкаган эки эң начар учурда, чабуулчулар баштапкы инфекциядан домен контроллеруна кирүүгө бир күндөн аз убакыт ичинде өтүштү — бул загрузчик канчалык катуу натыйжалуу болгонун көрсөтүп турат.

WordPress администраторлору, кулак салыңыз: сайттарыңызды күбөлүк шрифт файлдары жана күтүлбөгөн код киргизүүлөр үчүн текшериңиз. Бул башка скрипт-кидди чабуулу эмес — бул тармактарды тез буза аларын далилдеген, ыңгайлашкан, өнүгүп жаткан коркунуч.