O carregador de malware em JavaScript, conhecido como GootLoader, passou a utilizar arquivos ZIP malformados como parte de uma nova estratégia para escapar de mecanismos de detecção. A técnica consiste na concatenação de 500 a 1.000 arquivos dentro de um único ZIP, dificultando a análise por ferramentas automatizadas de segurança.
De acordo com Aaron Walton, pesquisador de segurança da Expel, o agente malicioso cria propositalmente um arquivo compactado defeituoso como método de anti-análise. Muitas ferramentas populares de descompactação não conseguem extrair o conteúdo de forma consistente, enquanto o descompactador padrão do Windows consegue abrir o arquivo sem erros, aumentando as chances de sucesso do ataque.
Esse comportamento impede que soluções como WinRAR ou 7-Zip analisem o conteúdo do ZIP, quebrando fluxos automatizados de inspeção. Por outro lado, usuários que caem em campanhas de engenharia social conseguem extrair e executar o código malicioso normalmente no ambiente Windows.
O GootLoader é distribuído principalmente por meio de técnicas de envenenamento de SEO e malvertising, atraindo vítimas que procuram modelos de documentos legais. Essas buscas levam a sites WordPress comprometidos, que hospedam os arquivos ZIP maliciosos. Assim como outros loaders, o GootLoader é utilizado para entregar cargas secundárias, incluindo ransomware, e está ativo pelo menos desde 2020.
No fim de outubro de 2025, novas campanhas indicaram um ressurgimento do malware com abordagens ainda mais sofisticadas. Entre elas estão o uso de fontes personalizadas WOFF2 com substituição de glifos para ocultar nomes de arquivos e a exploração do endpoint de comentários do WordPress para entregar os arquivos ZIP quando o usuário clica em botões de download.
As análises mais recentes da Expel mostram que os operadores do GootLoader continuam aprimorando seus métodos de distribuição e evasão. As técnicas incluem a junção de centenas de arquivos em um único ZIP, a remoção de bytes críticos do registro de fim de diretório central (EOCD) e a aleatorização de campos não essenciais, o que leva as ferramentas de descompactação a procurar estruturas inexistentes.
Segundo Walton, essa abordagem caracteriza uma técnica conhecida como “hashbusting”, na qual cada arquivo gerado possui uma assinatura única. Na prática, isso torna inútil a busca por hashes em outros ambientes, já que cada vítima recebe um ZIP diferente, assim como um arquivo JScript exclusivo.
A cadeia de ataque começa com a entrega do ZIP como um bloco codificado em XOR, que é decodificado e repetidamente anexado a si mesmo no navegador da vítima até alcançar um tamanho específico. Essa estratégia permite contornar controles de segurança voltados à detecção de arquivos compactados.
Quando o usuário abre o arquivo ZIP, o descompactador padrão do Windows exibe o conteúdo diretamente no Explorador de Arquivos. Ao executar o arquivo JavaScript, o processo “wscript.exe” é iniciado a partir de uma pasta temporária, mesmo sem a extração explícita do conteúdo.
Em seguida, o malware cria um atalho do tipo LNK na pasta Inicializar para garantir persistência no sistema. Um segundo script JavaScript é executado via cscript, gerando comandos do PowerShell responsáveis por avançar a infecção. Em campanhas anteriores, esses scripts coletam informações do sistema e se comunicam com servidores remotos para receber instruções adicionais.
Para mitigar os riscos associados ao GootLoader, especialistas recomendam que organizações bloqueiem a execução dos arquivos “wscript.exe” e “cscript.exe” para conteúdos baixados da internet. Outra medida sugerida é o uso de Políticas de Grupo (GPO) para definir que arquivos JavaScript sejam abertos por padrão em editores de texto, como o Bloco de Notas, em vez de serem executados automaticamente.
Fonte: The Hacker News
