Gootloader : vírusok, kémprogramok terjedési képessége szinte fájl nélkül!
A Gootloader a SEO Biztonság egyik legnagyobb fenyegetője!
ℹ️ Tulajdonképpen a Gootloader nem egy vírusnak a neve, hanem a vírusok, kémprogramok, malware, trójai és egyéb kártevők, rosszindulatú programok terjedési mechanizmusának elnevezése.
❗A REvil és Gootkit vírusokon kívül a Gootloadert például a Kronos trójai és a Cobalt Strike sikeres terjesztésére is igen aktívan használták.
Apró háttértörténet
A TheAnalyst biztonságkutató volt az első, amely nyilvánosan azonosított egy aktív hadjáratot 2020 novemberében egy kifinomult betöltő eljárást, amelyet végül a Gootkitnek, egy banki trójainak tulajdonítottak. A német CERT-Bund, később megerősítette, hogy német felhasználókat céloznak meg különböző feltört webhelyeken keresztül.
A végpontbiztonsági eszközökkel való észlelés elkerülésére tett legutóbbi kísérletei során a Gootloader fertőzési infrastruktúrájának legnagyobb részét áthelyezte a „fájl nélküli” módszerre, olyan 2021 márciusa környékén!
📣 Bár nem teljesen fájlmentes, de ezek a technikák hatékonyak a hálózaton keresztüli észlelés elkerülésében – egészen addig amíg a rosszindulatú tevékenység kijátssza a viselkedésészlelési szabályokat.
A Gootloader rosszindulatú keresőoptimalizálási (SEO) technikákat használ a Google keresési eredményeinek manipulálására❗
A Gootloader módszere technikai elemekre és az emberi pszichére egyaránt összpontosít.
Főként különböző tartalomkezelő rendszerek útján fejti ki tevékenységét. A legérintettebbek a WordPress CMS rendszerei, de csak azért, mert ez a legnépszerűbb.
Hogy működik a Gootloader❓
Koncepciója, hogy számtalan szervert kapcsoljon magához, amelyeket sikeresen feltört, s ezeknek a folyamatos működését biztosítsa. 2021 márciusa környékén legalább 400 ilyen szervert tartottak nyilván.
Amikor a feltört webhelyeken keresztül a Gootloader az említett rosszindulatú SEO technikát használja, akkor főként a Google Adwords által megjelenített eredeti hirdetések helyében lép fel, mint első találat.
Amennyiben a látogató a keresési eredmény linkjére kattint, egy másik, nagyon specifikus oldal jelenik meg.
Azt a látszatot kelti, hogy a Google felhasználó pontos kérdésére adja meg a választ, pontosan ugyanazt a megfogalmazást használva, mint a keresési kifejezés!
A valóságban azonban ha a Google felhasználó rákattint erre a bizonyos első pozícióban megjelenő linkre, akkor tulajdonképpen a Gootloader által fenntartott és éltetett szervezhálózat egyik oldalára irányít, ahonnan a témával releváns fórumszerű megjelenést prezentál, az alábbi példaképnek hasonlóan, amelyet szintén a már hivatkozott Sophos Security Labs mutatott be. 
Ezek a Gootloader által generált hamis „üzenőfal” oldalak ismétlik a keresési lekérdezést az oldalon több helyen. És ha ugyanaz a webhelylátogató rákattint az oldalon található közvetlen letöltési linkre, egy .zip archív fájlt kap, amelynek fájlneve pontosan megegyezik a kezdeti keresésben használt keresőkifejezéssel. Azonban ez egy másik fájlt tartalmaz, egy fertőzésre képes .js fájlt, amely eljárás során rosszindulatú fájl kerül a felhasználó számítógépének fájlrendszerébe.
Maga a szkript teljes egészében a memóriában fut, a hagyományos végpontvédelmi eszközök hatókörén kívül!
A weboldalak üzemeltetői maguk sem tudják, hogy a weboldaluk szerveréhez tartozó erőforrást, milyen egyéb alantas dologra is használják fel a háttérben.
☠️ A Gootloader eltávolítása
Ha felmerül egy felhasználó vagy weboldal tulajdonos számára a gyanú, hogy esetleg a Gootloader garázdálkodik a háttérben, akkor már rendelkezésre állnak különböző, hatékony vírusölő programok, teljesen INGYENES változatban is, amelyekkel a Gootloader eljárása detektálható és kiiktatható.
Ajánlom az EnigmaSoft oldaláról letölthető és telepíthető SpyHunter nevű programot!
A program ugyan többször is felfogja kínálni az előfizetés lehetőségét, de 48 órás várakozás fejében ingyenesen is eltávolítja a detektált rosszindulatú programokat. Orvosolja a Gootloader okozta problémát is. Ha letöltöttük és feltepeítettük, akkor végeztessük el vele a teljes keresést. Majd az alkalmazás tetején amikor elindítjuk látni fogjuk, hány óra van még vissza a 48 órából.
ℹ️ Spyhunter jó másra is mint a Gootloader eltávolítására?
Mihelyst ez az idő letelik, az előzetes keresési eredmények alapján (tehát nem kell elvégezni újra a nagyon hosszú ideig tartó keresést) lehetőségünk lesz eltávolítatni vele a különböző kártevőket.
Igen, másra is jó, a felhasználó megfog szerintem lepődni, hogy mennyi kártevő fejti ki hatását a számítógépén.
Sok esetben ugyanis ezek a hatások észrevétlenek. Persze olyan esetek is vannak, amikor a kártevők funkciója kifejezetten a reklámok megjelenítésére fókuszál, s ilyenkor a számítógép teljesítménye romlik, sokkal lassabbnak tűnik.