惡意軟體GootLoader鎖定澳洲，針對愛貓人士下手

在散布惡意軟體的手法當中，搜尋引擎最佳化中毒（SEO Poisoning）可說是相當常見，通常攻擊者會假借提供常見的應用程式及遊戲，或是破解軟體、盜版軟體的名義，引誘Google搜尋的使用者上當，但如今，有人專門針對喜好特定動物的人士而來。

資安業者Sophos揭露最新一波惡意程式GootLoader的攻擊行動，本來攻擊者就會透過搜尋引擎最佳化中毒的手法，來取得受害電腦的初始入侵管道，這次也不例外，但這波攻擊有所不同，駭客鎖定的對象，竟是詢問在澳洲養孟加拉貓是否合法的使用者。這種專門針對特定地區愛貓人士的情況，其實並不常見。

根據研究人員的調查，3月底他們在MDR用戶環境當中，察覺新的GootLoader變種開始積極活動的跡象，循線調查發現，攻擊者透過搜尋引擎最佳化中毒手法，藉由Google搜尋將使用者導向特定網路論壇，而使用者詢問的問題，是有關在澳洲養孟加拉貓是否需要執照（Do you need a license to own a Bengal cat in Australia），一旦他們執行搜尋，檢索結果列出的第一項網址，就是駭客放置的惡意廣告。

若是使用者點選連結，電腦就會自動下載壓縮檔Are_bengal_cats_legal_in_australia_33924.zip，並將使用者重新導向另一個看起來像是相關問題的問答網站。

而上述ZIP檔案內容，包含GootLoader初始執行的JavaScript檔案，執行時會載入另一個大型的JavaScript檔，並建立名為Business Aviation的工作排程，當中透過公用程式wscript.exe，啟動第二階段有效酬載GootKit。

接著攻擊者利用cscript.exe存取PowerShell，但研究人員並未取得對方下達的命令，而無從得知後續的攻擊行動。

雖然這起攻擊行動並未成功，但研究人員近期看到搜尋引擎最佳化中毒的威脅態勢持續成長，而且，過去一年發生數次大規模利用的現象。