GootLoader снова в деле — злоумышленники

Home GootLoader снова в деле — злоумышленники
защита wordpress

GootLoader снова в деле — злоумышленники используют хак шрифтов для заражения сайтов WordPress

В конце 2025 года обнаружена новая волна активности вредоносного ПО GootLoader, при которой злоумышленники внедряют заражённые файлы через уязвимые или скомпрометированные сайты WordPress, применяя хитрый трюк с веб-шрифтами.
(Источник: TechRadar)

Что происходит

  • Исследователи зафиксировали всплеск активности GootLoader после паузы примерно в 9 месяцев.
  • Новый метод: злоумышленники внедряют .woff2 или другой кастом-шрифт, который при просмотре HTML-кода выглядит как бессмысленная строка, но после рендеринга превращается в логичное имя файла (например, «Report_2025_Q4.pdf.zip») и запускает загрузку.
  • Цель атаки: сайты на WordPress, зачастую через комментарии или формы загрузки, либо через SEO-подстановки для лёгкой добычи жертв минуя защиту.

Интересные факты и статистика

  • До 2025 года GootLoader считался «спящим» риск-фактором, но после активации в 2025 году он вновь вошёл в топ угроз: например, в отчёте одного EDR-поставщика GootLoader составил около 2-3 % всех инцидентов с вредоносным ПО среди корпоративных клиентов.
  • В одном из задокументированных случаев злоумышленники получили контроль над контроллером домена клиента менее чем за 17 часов после первоначального заражения.
  • Техника с веб-шрифтом (woff2) — сравнительно новая, и она помогает обойти защиту, потому что файл внешне выглядит как «безобидный» шрифт или изображение, а не как обычный исполняемый вредоносный файл.
  • По оценкам экспертов, доля атак через компрометированные сайты WordPress и SEO-подставки увеличилась на ~30 % за последние 12 месяцев (2024 → 2025).
  • Одной из популярных масок файла, используемого GootLoader, является архив с видом «Employee_Policy_Update_2025.zip», внутри которого запускается загрузчик.

Пример цепочки атаки

  1. Жертва находит ссылку через поиск или получает письмо: «Скачайте отчёт: 2025 SafetyProcedures.pdf.zip».
  2. Сайт (на WordPress) предлагает ZIP-архив, скачивание которого начинается через комментарий или форму.
  3. Артефакт включает в себя файл-загрузчик с веб-шрифтом: имя шрифта при просмотре исходного кода выглядит бессмысленно, но при рендеринге — как легитимное название.
  4. Загрузчик выполняется (например, через wscript.exe, PowerShell) и устанавливает обратный доступ, прокси, далее lateral-доступ к сети.
  5. В течение часов злоумышленники могут получить контроль над доменной средой и передать доступ группировке-рансомваре.

Почему это опасно

  • Традиционные фильтры часто пропускают «изображения» и шрифты с расширениями вроде .woff2, считая их безопасными.
  • WordPress-сайты часто имеют слабую защиту и часто используются как площадка промежуточного заражения.
  • Размер времени «от заражения до взлома» становится всё меньше — в документированных случаях меньше суток.
  • Потеря контроля над доменной средой чревата очень серьёзными последствиями: утечка данных, шифрование, финансовые потери.

Что делать для защиты

  • Блокируйте или контролируйте загрузки с сайтов, если вам не нужны файлы типа .zip или .woff2 от неизвестных источников.
  • Обновляйте WordPress-ядро, темы и плагины, отключайте формы и комментарии, если они не нужны.
  • Останавливайте выполнение wscript.exe, cscript.exe, нежелательных PowerShell-скриптов на конечных устройствах.
  • Настройте мониторы в EDR/логах на подозрительные цепочки: браузер → шрифт/ZIP → wscript/PowerShell → lateral-доступ.
  • Проверяйте необычные события: создание ярлыков в папке „Startup“, появление новых учётных записей с правами администратора, отключена MFA и др.