Gootloader kampány
A Sophos jelentése részletesen bemutatja a Gootloader nevű rosszindulatú program működését, amely keresőoptimalizálási (SEO) technikákat kihasználva terjeszti magát.
A támadók feltörnek legitim WordPress weboldalakat, és módosítják azok tartalmát, hogy bizonyos keresési kifejezésekre előkelő helyen jelenjenek meg a keresőmotorok találatai között. Amikor a felhasználó rákattint egy ilyen manipulált találatra, egy olyan oldalra jut, amely látszólag egy fórum bejegyzést tartalmaz, pontosan arra a kérdésre válaszolva, amit a felhasználó keresett. Ez az oldal azonban valójában egy dinamikusan generált hamis tartalom. A fórumoldalon található letöltési link egy ZIP fájlt kínál, amely egy JavaScript fájlt tartalmaz. Ennek futtatása elindítja a fertőzési láncot, amely további rosszindulatú szoftverek letöltéséhez és telepítéséhez vezethet.
A Gootloader mögött álló infrastruktúra központi eleme egy “mothership” nevű szerver, amely irányítja a fertőzési folyamatot, és dinamikusan generálja a hamis fórumoldalakat a felhasználó keresési kifejezései alapján. A támadók különböző országokat céloznak meg, és az adott régió nyelvén jelenítik meg a hamis tartalmakat, hogy hitelesebbnek tűnjenek.