🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O carregador de malware JavaScript (também conhecido como JScript) chamado GootLoader foi observado usando um arquivo ZIP malformado projetado para evitar os esforços de detecção, concatenando de 500 a 1.000 arquivos.
“O ator cria um arquivo malformado como uma técnica anti-análise”, disse Aaron Walton, pesquisador de segurança do Expel, em um relatório compartilhado com o The Hacker News. "Ou seja, muitas ferramentas de desarquivamento não são capazes de extraí-lo de forma consistente, mas uma ferramenta crítica de desarquivamento parece funcionar de forma consistente e confiável: a ferramenta padrão incorporada aos sistemas Windows."
Isso leva a um cenário em que o arquivo não pode ser processado por ferramentas como WinRAR ou 7-Zip e, portanto, impede que muitos fluxos de trabalho automatizados analisem o conteúdo do arquivo. Ao mesmo tempo, ele pode ser aberto pelo desarquivador padrão do Windows, garantindo assim que as vítimas do esquema de engenharia social possam extrair e executar o malware JavaScript.
GootLoader é normalmente distribuído por meio de táticas de envenenamento de otimização de mecanismo de pesquisa (SEO) ou malvertising, visando usuários que procuram modelos legais para levá-los a sites WordPress comprometidos que hospedam arquivos ZIP maliciosos. Como outros carregadores, ele foi projetado para entregar cargas secundárias, incluindo ransomware. O malware foi detectado à solta desde pelo menos 2020.
No final de outubro de 2025, campanhas de malware propagando o malware ressurgiram com novos truques: aproveitando fontes WOFF2 personalizadas com substituição de glifos para ofuscar nomes de arquivos e explorando o endpoint de comentários do WordPress ("/wp-comments-post.php") para entregar cargas ZIP quando um usuário clica em um botão "Download" no site.
As últimas descobertas do Expel destacam a evolução contínua dos métodos de entrega, com os atores da ameaça empregando mecanismos de ofuscação mais sofisticados para evitar a detecção -
Concatene 500-1.000 arquivos para criar o arquivo ZIP malicioso
Truncar o registro do final do diretório central (EOCD) do arquivo morto de forma que ele perca dois bytes críticos da estrutura esperada, provocando erros de análise
Aleatorize valores em campos não críticos, como número do disco e Número de discos, fazendo com que as ferramentas de desarquivamento esperem uma sequência de arquivos ZIP que são inexistentes
“O número aleatório de arquivos concatenados e os valores aleatórios em campos específicos são uma técnica de evasão de defesa chamada ‘hashbusting’”, explicou Walton.
"Na prática, todo usuário que baixar um arquivo ZIP da infraestrutura do GootLoader receberá um arquivo ZIP exclusivo, portanto, procurar esse hash em outros ambientes é inútil. O desenvolvedor do GootLoader usa hashbusting para o arquivo ZIP e para o arquivo JScript contido no arquivo."
A cadeia de ataque envolve essencialmente a entrega do arquivo ZIP como um blob codificado em XOR, que é decodificado e anexado repetidamente a si mesmo no lado do cliente (ou seja, no navegador da vítima) até atingir um tamanho definido, contornando efetivamente os controles de segurança projetados para detectar a transmissão de um arquivo ZIP.
Assim que o arquivo ZIP baixado for clicado duas vezes pela vítima, isso fará com que o desarquivador padrão do Windows abra a pasta ZIP que contém a carga JavaScript no Explorador de Arquivos. O lançamento do arquivo JavaScript, por sua vez, aciona sua execução via “wscript.exe” de uma pasta temporária, uma vez que o conteúdo do arquivo não foi extraído explicitamente.
O malware JavaScript então cria um arquivo de atalho do Windows (LNK) na pasta Inicialização para estabelecer persistência e, em última análise, executa um segundo arquivo JavaScript usando cscript, gerando comandos do PowerShell para levar a infecção ao próximo estágio. Em ataques anteriores do GootLoader, o script do PowerShell era usado para coletar informações do sistema e receber comandos de um servidor remoto.
Para combater a ameaça representada pelo GootLoader, as organizações são aconselhadas a considerar bloquear "wscript.exe" e "cscript.exe" de executar conteúdo baixado, se não for necessário, e usar um Objeto de Política de Grupo (GPO) para garantir que os arquivos JavaScript sejam abertos no Bloco de Notas por padrão, em vez de executá-los via "wscript.exe".
“O ator cria um arquivo malformado como uma técnica anti-análise”, disse Aaron Walton, pesquisador de segurança do Expel, em um relatório compartilhado com o The Hacker News. "Ou seja, muitas ferramentas de desarquivamento não são capazes de extraí-lo de forma consistente, mas uma ferramenta crítica de desarquivamento parece funcionar de forma consistente e confiável: a ferramenta padrão incorporada aos sistemas Windows."
Isso leva a um cenário em que o arquivo não pode ser processado por ferramentas como WinRAR ou 7-Zip e, portanto, impede que muitos fluxos de trabalho automatizados analisem o conteúdo do arquivo. Ao mesmo tempo, ele pode ser aberto pelo desarquivador padrão do Windows, garantindo assim que as vítimas do esquema de engenharia social possam extrair e executar o malware JavaScript.
GootLoader é normalmente distribuído por meio de táticas de envenenamento de otimização de mecanismo de pesquisa (SEO) ou malvertising, visando usuários que procuram modelos legais para levá-los a sites WordPress comprometidos que hospedam arquivos ZIP maliciosos. Como outros carregadores, ele foi projetado para entregar cargas secundárias, incluindo ransomware. O malware foi detectado à solta desde pelo menos 2020.
No final de outubro de 2025, campanhas de malware propagando o malware ressurgiram com novos truques: aproveitando fontes WOFF2 personalizadas com substituição de glifos para ofuscar nomes de arquivos e explorando o endpoint de comentários do WordPress ("/wp-comments-post.php") para entregar cargas ZIP quando um usuário clica em um botão "Download" no site.
As últimas descobertas do Expel destacam a evolução contínua dos métodos de entrega, com os atores da ameaça empregando mecanismos de ofuscação mais sofisticados para evitar a detecção -
Concatene 500-1.000 arquivos para criar o arquivo ZIP malicioso
Truncar o registro do final do diretório central (EOCD) do arquivo morto de forma que ele perca dois bytes críticos da estrutura esperada, provocando erros de análise
Aleatorize valores em campos não críticos, como número do disco e Número de discos, fazendo com que as ferramentas de desarquivamento esperem uma sequência de arquivos ZIP que são inexistentes
“O número aleatório de arquivos concatenados e os valores aleatórios em campos específicos são uma técnica de evasão de defesa chamada ‘hashbusting’”, explicou Walton.
"Na prática, todo usuário que baixar um arquivo ZIP da infraestrutura do GootLoader receberá um arquivo ZIP exclusivo, portanto, procurar esse hash em outros ambientes é inútil. O desenvolvedor do GootLoader usa hashbusting para o arquivo ZIP e para o arquivo JScript contido no arquivo."
A cadeia de ataque envolve essencialmente a entrega do arquivo ZIP como um blob codificado em XOR, que é decodificado e anexado repetidamente a si mesmo no lado do cliente (ou seja, no navegador da vítima) até atingir um tamanho definido, contornando efetivamente os controles de segurança projetados para detectar a transmissão de um arquivo ZIP.
Assim que o arquivo ZIP baixado for clicado duas vezes pela vítima, isso fará com que o desarquivador padrão do Windows abra a pasta ZIP que contém a carga JavaScript no Explorador de Arquivos. O lançamento do arquivo JavaScript, por sua vez, aciona sua execução via “wscript.exe” de uma pasta temporária, uma vez que o conteúdo do arquivo não foi extraído explicitamente.
O malware JavaScript então cria um arquivo de atalho do Windows (LNK) na pasta Inicialização para estabelecer persistência e, em última análise, executa um segundo arquivo JavaScript usando cscript, gerando comandos do PowerShell para levar a infecção ao próximo estágio. Em ataques anteriores do GootLoader, o script do PowerShell era usado para coletar informações do sistema e receber comandos de um servidor remoto.
Para combater a ameaça representada pelo GootLoader, as organizações são aconselhadas a considerar bloquear "wscript.exe" e "cscript.exe" de executar conteúdo baixado, se não for necessário, e usar um Objeto de Política de Grupo (GPO) para garantir que os arquivos JavaScript sejam abertos no Bloco de Notas por padrão, em vez de executá-los via "wscript.exe".
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #o #malware #gootloader #usa #de #500 #a #1.000 #arquivos #zip #concatenados #para #evitar #a #detecção
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário