GootLoader | Nivel de amenaza: high | Tipo: Loader
Identificadores criptográficos
| SHA256 | 0fb400f23b6bcd6d16c1f68abfc04b5bbb8c417ccec3a94aef426c7a7be81f5c |
|---|---|
| MD5 | 08ad4afcb740e8b02a1cdc552ea6bbcd |
| Tipo de archivo | zip |
| Tamaño | 37.1 KB |
| Primera detección | 2022-11-16 |
| Nombre de archivo | Disagreements of the yalta conference (15094).zip |
| Etiquetas | Gootkit, GootLoader, js, zip |
Familia de malware: GootLoader
GootLoader, SEO zehirleme ile yayılır.
| Tipo | Loader |
|---|---|
| Lenguaje de programación | JavaScript |
| Plataforma objetivo | Windows |
| Protocolo C2 | HTTPS |
| Propósito | SEO zehirleme loader |
| Año de primera detección | 2020 |
| Otros nombres | GootKit |
Indicadores de amenaza (IOC)
- SHA256:
0fb400f23b6bcd6d16c1f68abfc04b5bbb8c417ccec3a94aef426c7a7be81f5c - MD5:
08ad4afcb740e8b02a1cdc552ea6bbcd
Puede verificar todos los valores hash de esta muestra en VirusTotal.
Guía de limpieza del sistema
- Desconecte el sistema de la red: el loader puede estar descargando más malware
- Analice todas las cargas útiles descargadas
- Inspeccione todo el tráfico de red y corte las conexiones sospechosas
- Realice un análisis antivirus completo
- Considere reinstalar el sistema
Sugerencias de reglas YARA
rule GootLoader_SHA256 {
meta:
description = "GootLoader sample: 0fb400f23b6bcd6d"
threat_level = "high"
first_seen = "2022-11-16"
condition:
hash.sha256(0, filesize) == "0fb400f23b6bcd6d16c1f68abfc04b5bbb8c417ccec3a94aef426c7a7be81f5c"
}
Gootloader — Perfil del malware
GootLoader/GootKit v3 JavaScript loader. SEO zehirleme kampanyasi. Hukuki belge lurü. JScript dropper.
Tipo de malware
Loader
Lenguaje de programación
JavaScript
Protocolo C2
HTTPS
Sistemas objetivo
Windows
También conocido como (AKA)
GootKit
Detalles técnicos
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
Capacidades y comportamiento
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Lista IOC (2 indicadores)
IOC — GootLoader
# SHA256
0fb400f23b6bcd6d16c1f68abfc04b5bbb8c417ccec3a94aef426c7a7be81f5c
# MD5
08ad4afcb740e8b02a1cdc552ea6bbcd
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 0fb400f23b6bcd6d16c1f68abfc04b5bbb8c417ccec3a94aef426c7a7be81f5c | Sample:GootLoader |
| md5 | 08ad4afcb740e8b02a1cdc552ea6bbcd | Sample:GootLoader |
Servidores C2 (3 servidores registrados para esta familia)
| Dirección | Tipo | Puerto | Protocolo | Estado | País |
|---|---|---|---|---|---|
| 23.227.203.68 | ip | 443 | HTTPS | active | US |
| 216.122.229.106 | ip | 443 | HTTPS | inactive | US |
| login.itwrx.com | domain | 443 | HTTPS | inactive | US |
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.