- 27,514
- 46
- 8 Ноя 2022
Старый трюк снова сработал там, где защитники ждали сложной маскировки.
Иногда самый простой способ спрятать вредоносную программу строится не на сложной маскировке, а на лишнем «весе», и именно такой приём использует GoFlateLoader, загрузчик на Golang для доставки инфостилеров Lumma, Vidar, StealC, Amatera, Remus и других вредоносов.
GoFlateLoader сам по себе не выглядит технически сложным. В коде нет защиты от отладки, проверки виртуальных машин, запутывания вызовов API или сложной маскировки логики. Загрузчик действует прямолинейно: берёт закодированный вредоносный компонент из секции .rdata, расшифровывает его в несколько этапов, восстанавливает исполняемый PE-файл и запускает прямо в памяти.
Главный приём GoFlateLoader связан с огромным PE-оверлеем, дополнительным блоком данных в конце исполняемого файла. Образцы обычно раздувают до 700–950 МБ, чаще всего за счёт нулевых байтов, иногда за счёт случайного мусора. В архиве такой файл сильно сжимается, поэтому злоумышленникам удобно распространять его, а средства защиты и автоматические песочницы могут не проверять файл глубоко из-за лимитов размера.
Специалисты Gen Threat Labs связывают распространение GoFlateLoader с взломанными пакетами программ и вредоносной системой перенаправления трафика, которую ранее изучала Check Point Research. Такая система ведёт жертв на страницы с архивами под паролем, а сам пароль показывает отдельно. Автоматические сканеры без пароля не всегда могут извлечь и проверить содержимое.
После запуска GoFlateLoader вручную размещает вредоносный PE-файл в памяти и передаёт управление через syscall.Syscall, используя фиктивные аргументы 1, 2, 3 и 4. Такой шаблон выглядит необычно и может помочь в обнаружении, особенно вместе с другими признаками: большим оверлеем, хранением закодированной нагрузки в .rdata и характерной последовательностью ручной загрузки PE.
С апреля 2026 года Gen Threat Labs, по собственным данным, защитила более 33 тысяч уникальных пользователей от GoFlateLoader. Больше всего случаев заметили в Бразилии, Индии, Аргентине, Мексике, Турции и Испании.
Для снижения риска специалисты советуют жёстко ограничить установку взломанного ПО, блокировать известные страницы вредоносных TDS и настроить песочницы так, чтобы те разбирали крупные сжатые файлы и архивы с паролем, если пароль указан на странице загрузки.
Иногда самый простой способ спрятать вредоносную программу строится не на сложной маскировке, а на лишнем «весе», и именно такой приём использует GoFlateLoader, загрузчик на Golang для доставки инфостилеров Lumma, Vidar, StealC, Amatera, Remus и других вредоносов.
GoFlateLoader сам по себе не выглядит технически сложным. В коде нет защиты от отладки, проверки виртуальных машин, запутывания вызовов API или сложной маскировки логики. Загрузчик действует прямолинейно: берёт закодированный вредоносный компонент из секции .rdata, расшифровывает его в несколько этапов, восстанавливает исполняемый PE-файл и запускает прямо в памяти.
Главный приём GoFlateLoader связан с огромным PE-оверлеем, дополнительным блоком данных в конце исполняемого файла. Образцы обычно раздувают до 700–950 МБ, чаще всего за счёт нулевых байтов, иногда за счёт случайного мусора. В архиве такой файл сильно сжимается, поэтому злоумышленникам удобно распространять его, а средства защиты и автоматические песочницы могут не проверять файл глубоко из-за лимитов размера.
Специалисты Gen Threat Labs связывают распространение GoFlateLoader с взломанными пакетами программ и вредоносной системой перенаправления трафика, которую ранее изучала Check Point Research. Такая система ведёт жертв на страницы с архивами под паролем, а сам пароль показывает отдельно. Автоматические сканеры без пароля не всегда могут извлечь и проверить содержимое.
После запуска GoFlateLoader вручную размещает вредоносный PE-файл в памяти и передаёт управление через syscall.Syscall, используя фиктивные аргументы 1, 2, 3 и 4. Такой шаблон выглядит необычно и может помочь в обнаружении, особенно вместе с другими признаками: большим оверлеем, хранением закодированной нагрузки в .rdata и характерной последовательностью ручной загрузки PE.
С апреля 2026 года Gen Threat Labs, по собственным данным, защитила более 33 тысяч уникальных пользователей от GoFlateLoader. Больше всего случаев заметили в Бразилии, Индии, Аргентине, Мексике, Турции и Испании.
Для снижения риска специалисты советуют жёстко ограничить установку взломанного ПО, блокировать известные страницы вредоносных TDS и настроить песочницы так, чтобы те разбирали крупные сжатые файлы и архивы с паролем, если пароль указан на странице загрузки.
- Источник новости
- www.securitylab.ru
