Исследователи кибербезопасности зафиксировали усложнение методов обфускации, применяемых вредоносной программой Gootloader. Этот вредонос, активный с 2020 года и часто используемый как инструмент первоначального доступа для последующего развёртывания программ-вымогателей, теперь распространяется через специально сформированные ZIP-архивы, объединяющие до тысячи вложенных элементов.

Некорректно сформированный архив успешно распаковывается стандартными средствами Windows, однако вызывает сбои у многих специализированных инструментов анализа, таких как 7-Zip или WinRAR. Операторы Gootloader внедрили несколько механизмов для затруднения обнаружения:

• Объединение до тысячи ZIP-архивов в один файл.
• Использование усечённой записи конца центрального каталога (EOCD) с отсутствующими обязательными байтами, что нарушает работу парсера.
• Рандомизация полей номеров дисков, заставляющая инструменты ожидать несуществующие многодисковые архивы.
• Создание несоответствий в метаданных между локальными заголовками файлов и записями центрального каталога.
• Генерация уникальных ZIP- и JScript-образцов для каждой загрузки, чтобы обойти статическое обнаружение.

Архив доставляется в виде блока данных, закодированного с помощью операции XOR, который декодируется и многократно дополняется на стороне клиента до достижения нужного размера, что помогает избежать обнаружения в сети. После выполнения на целевом компьютере JScript-скрипт активируется через Windows Script Host (WScript) из временного каталога. Для обеспечения постоянного присутствия в систему добавляются файлы ярлыков (.LNK) в папку автозагрузки, которые указывают на второй JScript-файл.

Эта полезная нагрузка выполняется при первом запуске и при каждой последующей загрузке системы, запуская CScript с короткими именами NTFS, а затем PowerShell, который выполняет соответствующий сценарий.

Специалисты компании Expel, проанализировавшие угрозу, отмечают, что обнаружение возможно по структурным аномалиям в архиве. Они поделились правилом YARA, основанным на обнаружении определённой комбинации характеристик заголовка ZIP, сотен повторяющихся заголовков локальных файлов и записей EOCD.

Для снижения риска исследователи рекомендуют изменить приложение по умолчанию для открытия файлов JScript с Windows Script Host на текстовый редактор (например, «Блокнот»), чтобы предотвратить их автоматическое выполнение. Также предлагается заблокировать выполнение загруженного контента с помощью wscript.exe и cscript.exe, если работа с JScript-файлами не является необходимой для бизнес-процессов.

Ранее сообщалось, что Gootloader часто распространяется через поддельные онлайн-сервисы, например, сайты-конвертеры документов. Пользователь, загружая PDF-файл для конвертации в формат DOCX, вместо легитимного архива может получить файл .JS внутри ZIP, содержащий вредоносный скрипт.