Семейство вредоносных программ Gootloader использует особую форму социальной инженерии для заражения компьютеров: его создатели взламывают веб-сайты на платформе WordPress, и с помощью этого подменяют результаты поиска Google. По ложной ссылке пользователи видят поддельный форум с имитацией разговора, где задаётся тот же вопрос, который они искали в Google. В этом фальшивом диалоге и содержится ссылка на вредоносное ПО. Процесс заражения управляется кодом, работающим как на взломанном сайте, так и на «материнском» сервере, динамически генерирующем страницу с вредоносным контентом.
«Злоумышленники разработали вредоносное программное обеспечение Gootloader, которое может долгое время оставаться незамеченным для специалистов по кибербезопасности. Злоумышленники внедрили вредоносное ПО в легальные сайты, созданные на платформе WordPress. Эти сайты появляются в поисковой выдаче Google на первых позициях и предоставляют ссылку на фишинговую доску объявлений. Доска объявлений создаётся динамически в зависимости от запросов пользователей в поисковой строке Google. Это очень необычный способ проведения атак. Их сложно исследовать и детектировать. Для обнаружения новых угроз помогают инструменты поведенческой аналитики, такие как Ankey ASAP», — отметил Вадим Матвиенко.
