کمیته رکن چهارم– شرکتهای امنیتی از بازگشت بدافزار شناختهشده GootLoader خبر دادهاند که از ۲۷ October 2025 فعالیت مجدد داشته و با ترفندهای نوین تلاش میکند بدافزار را در سایتهای وردپرسی پنهان کند. این کمپین بهویژه با استفاده از تبلیغات جستجو و صفحات وردپرسی آلوده کاربران را به فایلهای ZIP حاوی بارهای مخرب هدایت میکند.
به گزارش کمیته رکن چهارم، عاملان حمله از فونتهای سفارشی WOFF2 و جایگزینی نویسه (glyph substitution) برای نمایش نام فایلهای فریبنده در مرورگر بهره میبرند، بهطوریکه هنگام کپی یا بررسی کد، رشتههای غیرقابلفهم دیده میشود اما در مرورگر نامی خوانا نمایش داده میشود. همچنین فایلهای ZIP طوری ساخته شدهاند که در ابزارهای تحلیل تنها یک فایل متنی نشان داده شود ولی در محیط ویندوز فایل اجرایی جاوااسکریپت استخراج میشود که میتواند بدافزاری مانند Supper را اجرا و امکان پراکسی SOCKS5 و دسترسی از راه دور فراهم کند.
این روش پنهانسازی شناسایی خودکار و تحلیل بدافزار را کند میکند و مهاجمان را قادر میسازد ظرف ساعتها به حرکت جانبی و حتی تصاحب کنترلر دامنه بپردازند. کاربران و مدیران وبسایتها باید از منابع رسمی فایل دانلود کنند، تبلیغات مشکوک را دنبال نکنند و فایلهای ZIP را با ابزارهای ایمن و نمونهبرداری دقیق بررسی کنند. اینگونه حملات نشان میدهد زنجیره توزیع از موتورهای جستجو تا سایتهای وردپرسی هنوز نیازمند تقویت دفاعی است.
