Gootkit银行木马家族大约已经存在5年，其功能以银行凭证盗窃为主，研究人员发现其将更新投入到改进交付方式上。分析人员将其分发机制命名为Gootloader。Gootloader使用恶意搜索引擎优化（SEO）技术来不动声色的将被黑网站置于Google搜索结果，分析人员估计黑客大约控制了400台被黑合法网站服务器。用户访问被黑网站后，将被引导下载.zip文档，其中包含带有.js扩展名的文件，脚本文件进行了模糊处理，并对下一阶段相关的字符串和数据blob进行了两层加密，该文件运行时调用wscript.exe。第二阶段有效负载内容被写入注册表并在系统重启后通过加载到内存运行。重启后将触发Powershell脚本运行并下载最终有效负载。除了REvil和Gootkit负载外，最近还发现使用Gootloader来交付Kronos木马和Cobalt Strike。