Gootloader

O GootLoader, um carregador de malware em JavaScript, tem utilizado um arquivo ZIP malformado para escapar de detecções de segurança. Esse arquivo é criado por meio da concatenação de 500 a 1.000 arquivos ZIP, dificultando a extração por ferramentas comuns como WinRAR e 7-Zip, mas sendo compatível com a ferramenta padrão do Windows. Essa técnica de anti-análise impede que muitos fluxos de trabalho automatizados consigam analisar o conteúdo do arquivo. O GootLoader é frequentemente distribuído por meio de táticas de SEO e malvertising, visando usuários que buscam templates legais e os redirecionando para sites WordPress comprometidos. Recentemente, novas técnicas foram observadas, como o uso de fontes WOFF2 personalizadas para ofuscar nomes de arquivos e a exploração do endpoint de comentários do WordPress para entregar os arquivos ZIP. O malware, que está ativo desde 2020, é projetado para entregar cargas secundárias, incluindo ransomware. Para mitigar essa ameaça, recomenda-se que as organizações bloqueiem a execução de ‘wscript.exe’ e ‘cscript.exe’ para conteúdos baixados, além de configurar políticas para abrir arquivos JavaScript no Notepad por padrão.

O malware Gootloader, que tem sido utilizado para acesso inicial em ataques cibernéticos, agora emprega um arquivo ZIP malformado que concatena até 1.000 arquivos para evitar a detecção. Essa técnica causa falhas em diversas ferramentas de análise, enquanto o arquivo malicioso, que é um arquivo JScript arquivado, pode ser descompactado com a ferramenta padrão do Windows. Pesquisadores notaram que ferramentas como 7-Zip e WinRAR falham ao tentar processar esses arquivos. Os operadores do Gootloader implementaram mecanismos de ofuscação mais complexos, como a concatenação de arquivos ZIP, a utilização de um End of Central Directory truncado e a randomização de campos de número de disco. Após a execução, o malware ativa um JScript que estabelece persistência no sistema, criando atalhos que são executados a cada inicialização. Para mitigar essa ameaça, recomenda-se que os defensores alterem a aplicação padrão para abrir arquivos JScript e bloqueiem a execução de wscript.exe e cscript.exe. A pesquisa também fornece uma regra YARA para ajudar na identificação desses arquivos ZIP malformados.

O malware GootLoader, conhecido por suas técnicas de ocultação, voltou a ser uma ameaça ativa, conforme relatado pela empresa de cibersegurança Huntress. Desde o final de outubro, foram identificadas três invasões, com duas delas comprometendo o controlador de domínio em apenas 17 horas após a infecção. O GootLoader utiliza uma abordagem inovadora, explorando os comentários em sites WordPress para entregar arquivos encriptados com chaves únicas, utilizando ofuscamento por meio de fontes WOFF2. Isso permite que o malware se esconda em arquivos que parecem legítimos, enganando os usuários.

O malware GootLoader voltou a ser uma ameaça significativa, conforme relatado pela Huntress. Desde 27 de outubro de 2025, foram observadas três infecções, com duas delas resultando em invasões diretas e comprometimento de controladores de domínio em menos de 17 horas após a infecção inicial. A nova versão do GootLoader utiliza fontes WOFF2 personalizadas para ofuscar nomes de arquivos, dificultando a análise estática. O malware explora endpoints de comentários do WordPress para entregar cargas úteis em arquivos ZIP criptografados com XOR, cada um com chaves únicas. Além disso, a técnica de modificação do arquivo ZIP permite que ele se apresente como um arquivo .TXT inofensivo em ferramentas de análise, enquanto na verdade contém um arquivo JavaScript malicioso. O payload JavaScript é projetado para implantar um backdoor chamado Supper, que permite controle remoto e proxy SOCKS5. O uso de anúncios do Google para direcionar vítimas em busca de modelos legais para sites WordPress comprometidos também foi uma tática observada. A evolução do GootLoader demonstra que os atores de ameaças não precisam de exploits sofisticados, mas sim de ferramentas bem ofuscadas que atendem a seus objetivos.