Зловредният JavaScript лоудър GootLoader продължава да развива техниките си за укриване, като според последни анализи използва силно деформирани ZIP архиви, съставени от 500 до 1000 слети архива. Целта е проста: да се блокират инструментите за анализ и да се позволи само на вградената в Windows система за разархивиране да отвори файла – точно както очакват нападателите.
Съдържание на статията
Как работи новата техника
Архивът е умишлено повреден така, че популярни инструменти като WinRAR и 7‑Zip да не могат да го обработят, обяснява изследователят от Expel Aaron Walton. Това прекъсва автоматичните системи за анализ и затруднява откриването на зловредното съдържание.
В същото време вграденият Windows unarchiver успява да отвори архива без проблем, което гарантира, че жертвата ще може да извлече и стартира JavaScript файла.
Тази техника е част от по-широка стратегия за социално инженерство. Жертвите обикновено търсят правни шаблони или документи, попадат на SEO‑отровени резултати или т. нар. малвертайзинг, след което биват пренасочени към компрометирани WordPress сайтове, предлагащи уж легитимни ZIP файлове.
Еволюция на GootLoader през 2025
Кампанията се активизира отново през октомври 2025 г., като нападателите добавят нови трикове:
- Използване на персонализирани WOFF2 шрифтове с подмяна на глифове, за да се скрият истинските имена на файловете
- Злоупотреба с WordPress endpoint-а /wp-comments-post.php, който доставя ZIP файла при натискане на бутон „Download“
- По-сложни методи за прикриване, включително манипулиране на ZIP структурата
Как е изграден зловредният ZIP архив
Последните наблюдения показват три ключови техники:
- Сливане на 500–1000 ZIP архива в един файл, което прави структурата непредсказуема
- Повреден EOCD (End of Central Directory) запис – липсват два критични байта, което води до грешки при разархивиране с най-популярните архиватори за Windows
- Случайни стойности в полета като „disk number“, които карат инструментите да очакват несъществуващи последователни архиви
Тази комбинация създава т.нар. hashbusting – всяка жертва получава уникален ZIP файл, което прави откриването по хеш напълно безполезно. Същата техника се прилага и върху вътрешния JScript файл.
Как протича атаката
Веригата на инфекция е внимателно изградена:
- ZIP файлът се доставя като XOR-кодиран блок, който браузърът на жертвата декодира и многократно добавя към себе си, докато достигне нужния размер
- След двойно щракване Windows автоматично отваря архива и показва JavaScript файла
- Стартирането му активира wscript.exe, който изпълнява кода от временна директория
- Зловредният скрипт създава LNK пряк път в Startup папката за постоянност
- След това стартира втори JavaScript файл чрез cscript, който от своя страна изпълнява PowerShell команди
- В предишни атаки PowerShell модулът събира системна информация и комуникира с отдалечен сървър за допълнителни инструкции
Как да се защитят организациите
Експертите препоръчват няколко мерки за ограничаване на риска:
- Блокиране на wscript.exe и cscript.exe за изпълнение на файлове, изтеглени от интернет
- Конфигуриране чрез GPO JavaScript файловете да се отварят по подразбиране в Notepad, а не да се изпълняват
- Допълнително наблюдение на WordPress сайтове и SEO трафик, които често се използват като входна точка
GootLoader продължава да бъде една от най-адаптивните и устойчиви заплахи, като комбинира социално инженерство, сложни механизми за прикриване и уникални техники за избягване на анализ, което го прави особено опасен за Windows потребителите.
