【安全资讯】Gootloader恶意软件在沉寂七个月后携新攻击技术卷土重来

概要：

网络安全研究人员发现，在沉寂七个月后，Gootloader恶意软件加载程序再度活跃。该恶意程序通过搜索引擎优化（SEO）投毒技术传播，伪装成法律文档模板网站诱导用户下载恶意文件，最终为勒索软件攻击提供初始访问权限，对企业和个人用户构成严重威胁。

主要内容：

Gootloader最新攻击活动采用多重规避技术。攻击者通过特殊网页字体替换技术，在HTML源码中显示乱码字符，但在浏览器渲染时显示正常词汇，有效规避安全软件的关键词检测机制。这种字体替换技术通过修改字形矢量路径实现字符映射，例如将字符"O"实际显示为"F"的形状。

恶意文档分发机制也得到升级。研究人员发现攻击者使用畸形ZIP压缩包，该压缩包在Windows资源管理器中解压时会释放恶意JavaScript文件，而在VirusTotal或7-Zip等工具中则仅解压无害文本文件。这种差异提取技术显著提高了恶意文件的存活率。

感染链最终会部署Supper SOCKS5后门程序，该恶意软件由勒索软件附属组织Vanilla Tempest使用。据观察，攻击者在感染设备后20分钟内就开始网络侦察，并在17小时内成功入侵域控制器。

此次攻击活动涉及超过100个网站和数千个关键词，主要针对需要下载法律协议和模板的企业用户。安全专家建议用户对来源不明的文档下载网站保持高度警惕，避免成为勒索软件攻击的跳板。