GootLoader utiliza até mil arquivos ZIP concatenados para driblar detecção

Tipo principal do conteúdo: Cibersegurança

O GootLoader, um carregador de malware baseado em JavaScript, tem adotado novas técnicas para dificultar sua detecção e análise. A ameaça utiliza arquivos ZIP malformados, criados por meio da concatenação de centenas de arquivos de arquivo, o que compromete a capacidade de ferramentas tradicionais como WinRAR e 7-Zip de processar o conteúdo. No entanto, o descompactador nativo do Windows consegue abrir esses arquivos, permitindo que vítimas extraíam e executem o malware sem dificuldades.

A arquitetura do ataque envolve a entrega do arquivo ZIP como um blob codificado por XOR, que é decodificado e repetidamente anexado a si mesmo no navegador da vítima até atingir um tamanho predefinido. Esse método permite contornar controles de segurança que monitoram transmissões de arquivos ZIP. Além disso, o arquivo ZIP gerado é único para cada download, graças à técnica de "hashbusting", que randomiza campos não críticos e dificulta a detecção baseada em assinaturas.

Após a extração, o JavaScript malicioso é executado via "wscript.exe", criando um atalho persistente na pasta de inicialização do Windows e desencadeando comandos PowerShell para avançar a infecção. Em campanhas recentes, o GootLoader também passou a utilizar fontes WOFF2 personalizadas para ofuscar nomes de arquivos e explorar endpoints de comentários do WordPress para distribuir os arquivos maliciosos.

Essas inovações técnicas demonstram a constante evolução dos métodos de evasão empregados por operadores de malware, exigindo que equipes de segurança revisem políticas de execução de scripts e reforcem controles sobre ferramentas de descompactação e execução de arquivos JavaScript em ambientes corporativos.