Malware Gootloader usa ZIP malformado para evitar detecção
O malware Gootloader, que tem sido utilizado para acesso inicial em ataques cibernéticos, agora emprega um arquivo ZIP malformado que concatena até 1.000 arquivos para evitar a detecção. Essa técnica causa falhas em diversas ferramentas de análise, enquanto o arquivo malicioso, que é um arquivo JScript arquivado, pode ser descompactado com a ferramenta padrão do Windows. Pesquisadores notaram que ferramentas como 7-Zip e WinRAR falham ao tentar processar esses arquivos. Os operadores do Gootloader implementaram mecanismos de ofuscação mais complexos, como a concatenação de arquivos ZIP, a utilização de um End of Central Directory truncado e a randomização de campos de número de disco. Após a execução, o malware ativa um JScript que estabelece persistência no sistema, criando atalhos que são executados a cada inicialização. Para mitigar essa ameaça, recomenda-se que os defensores alterem a aplicação padrão para abrir arquivos JScript e bloqueiem a execução de wscript.exe e cscript.exe. A pesquisa também fornece uma regra YARA para ajudar na identificação desses arquivos ZIP malformados.