- Die Gootloader-Malware tauchte Ende Oktober 2025 nach einer neunmonatigen Pause wieder auf und wurde für Ransomware-Angriffe genutzt
- Wird über bösartiges JavaScript übermittelt, das in benutzerdefinierten Web-Schriftarten versteckt ist und heimlichen Fernzugriff und Aufklärung ermöglicht
- Verbunden mit Storm-0494 und Vice Society; Angreifer erreichten Domänencontroller in einigen Fällen in weniger als einer Stunde
Nach einer neunmonatigen Pause ist die als Gootloader bekannte Malware tatsächlich zurück und wird möglicherweise als Sprungbrett für Ransomware-Infektionen genutzt.
In einem Bericht des Cybersicherheitsforschers Huntress wurden vom 27. Oktober bis Anfang November 2025 „mehrere Infektionen“ beobachtet. Davor wurde Gootloader zuletzt im März 2025 gesehen.
In der neuen Kampagne wurde Gootloader höchstwahrscheinlich von einer Gruppe namens Storm-0494 sowie ihrem nachgeschalteten Betreiber Vanilla Tempest (auch bekannt als Vice Society) genutzt, einer Ransomware-Gruppe, die erstmals Mitte 2021 beobachtet wurde und hauptsächlich auf den Bildungs- und Gesundheitssektor abzielt, mit gelegentlichen Ausflügen in die Fertigung.
Verstecken von Malware in benutzerdefinierten Schriftarten
Gootloader wurde verwendet, um schädliches JavaScript von kompromittierten Websites auszuliefern, erklärten die Forscher. Das Skript installiert Tools, die Angreifern Fernzugriff auf Windows-Computer des Unternehmens ermöglichen und Folgeaktionen wie die Kontoübernahme oder den Einsatz von Ransomware ermöglichen.
Gootloader versteckte bösartige Dateinamen und Downloadanweisungen in einer benutzerdefinierten Webschriftart (WOFF2), sodass die Seite in einem Browser normal aussah, im Roh-HTML jedoch bedeutungslosen Text anzeigte. Als ein Opfer die manipulierte Seite öffnete, nutzte der Browser die Schriftart, um unsichtbare oder verschlüsselte Zeichen durch lesbare zu ersetzen, sodass der echte Download-Link und der Dateiname erst beim Rendern sichtbar wurden.
Ziel der Kampagne ist es, einen zuverlässigen Erstzugang zu erhalten, Zielnetzwerke schnell zu kartieren und zu kontrollieren und anschließend den Zugang an Ransomware-Betreiber zu übergeben. Der gesamte Prozess wird so schnell wie möglich durchgeführt, hauptsächlich durch automatisierte Aufklärungs- und Fernsteuerungstools, die dabei helfen, hochwertige Ziele zu identifizieren, privilegierte Konten zu erstellen und sich auf Ransomware vorzubereiten.
In einigen Fällen, fügte Huntress hinzu, erreichten die Angreifer die Domänencontroller innerhalb weniger Stunden. Die erste automatisierte Aufklärung beginnt häufig innerhalb von 10 bis 20 Minuten nach der Ausführung des bösartigen JavaScript. In mehreren Fällen erlangten die Betreiber bereits nach 17 Stunden Zugriff auf den Domänencontroller. In mindestens einer Umgebung erreichten sie einen Domänencontroller in weniger als einer Stunde.
Um sich vor Gootloader zu schützen, empfiehlt Huntress, auf frühe Anzeichen wie unerwartete Downloads von Webbrowsern, unbekannte Verknüpfungen an Startorten, plötzliche PowerShell- oder Skriptaktivitäten vom Browser und ungewöhnliche ausgehende Proxy-ähnliche Verbindungen zu achten.
Über Die Hacker-News
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
