GootLoader มัลแวร์สายเก๋ากลับมาอีกครั้ง และครั้งนี้มันมาพร้อมกับกลเม็ดใหม่ระดับ “ศิลปิน” โดยซ่อนมัลแวร์ไว้ในฟอนต์ปลอมที่สร้างขึ้นเองเพื่อแสดงชื่อไฟล์หลอกในเว็บ WordPress แบบแนบเนียนสุด ๆ
บริษัทด้านความปลอดภัย Huntress รายงานว่าตั้งแต่วันที่ 27 ตุลาคม 2025 มีการตรวจพบ GootLoader อย่างน้อย 3 ครั้ง และใน 2 ครั้งแฮกเกอร์สามารถเจาะเข้าถึง Domain Controller ได้ภายใน 17 ชั่วโมงหลังเริ่มการโจมตี!
แฮกเกอร์ใช้ฟอนต์ WOFF2 ที่แฝงไว้ใน JavaScript ด้วยการเข้ารหัส Z85 ซึ่งเป็น Base85 แบบพิเศษ ทำให้เมื่อดูโค้ดต้นฉบับ จะเห็นชื่อไฟล์เป็นตัวอักษรประหลาดเช่น
›μI€vSO₽*'Oaμ==€‚‚33O%33‚€×:O[TM€v3cwv,,
แต่เมื่อโหลดหน้าเว็บในเบราว์เซอร์กลับแสดงเป็น
Florida_HOA_Committee_Meeting_Guide.pdf
หลอกให้ผู้ใช้เข้าใจว่าเป็นเอกสารธรรมดา
รูป – file download
ที่มา: The Hacker News
เมื่อผู้ใช้โหลดไฟล์ ZIP ที่ฝังมัลแวร์แล้วเปิดใน Windows Explorer จะเห็นไฟล์ JavaScript ที่ดูเหมือน harmless แต่จริง ๆ แล้วคือมัลแวร์ Supper ซึ่งเป็น backdoor ที่ทำงานเป็น SOCKS5 proxy พร้อมเปิด Shell access ให้แฮกเกอร์ควบคุมเครื่องได้จากระยะไกล
เทคนิคอื่น ๆ
- ใช้ WordPress comment endpoint เป็นจุดส่ง ZIP ที่เข้ารหัส XOR
- เปลี่ยน ZIP ให้เปิดใน VirusTotal แล้วดูเหมือน .txt
- ใช้ WinRM เพื่อกระโดดไปยัง Domain Controller และสร้าง user ใหม่ระดับแอดมิน
GootLoader พัฒนาอย่างต่อเนื่อง ด้วยกลเม็ดการแฝงมัลแวร์ที่เหนือชั้นกว่าเดิม แม้จะไม่ใช้ zero-day แต่ก็เลี่ยงการตรวจจับได้ดีมาก ผู้ดูแลเว็บไซต์ WordPress และองค์กรจึงควรหมั่นตรวจสอบจุดที่โดนแฝง JavaScript, หมั่นอัปเดต CMS และติดตั้ง Web Application Firewall เสมอ
ที่มา: The Hacker News
