GootLoader возвращается, используя новый трюк со шрифтами для скрытия вредоносного ПО на сайтах WordPress

GootLoader снова в действии, и на этот раз он использует новый хитрый трюк обфускации шрифтов для скрытия вредоносного ПО на скомпрометированных сайтах WordPress. Huntress обнаружила три новых заражения с 27 октября 2025 года — и два из них переросли в полную компрометацию контроллера домена менее чем за 17 часов. Да, так быстро.

Злоумышленники по-прежнему используют свою классическую тактику отравления SEO — продвигая поддельные форумы в результатах поиска, чтобы заманить жертв в загрузку вредоносных файлов JavaScript. Но теперь они улучшились: полезные нагрузки скрыты внутри файлов шрифтов на взломанных сайтах WordPress, что значительно усложняет обнаружение для базовых проверок безопасности.

Попав внутрь, GootLoader развертывает многоэтапную цепочку атак, которая сбрасывает вторичные полезные нагрузки, такие как маяки Cobalt Strike, приводя к вымогательскому ПО, краже данных или полному захвату сети. В двух худших случаях, отслеженных Huntress, злоумышленники перешли от первоначального заражения к доступу к контроллеру домена менее чем за день — показывая, насколько жестоко эффективным стал этот загрузчик.

Администраторы WordPress, внимание: проверьте свои сайты на наличие подозрительных файлов шрифтов и неожиданных внедрений кода. Это не просто очередная атака скрипт-кидди — это скоординированная, развивающаяся угроза, которая уже доказывает, что может быстро разрушать сети.