После продолжительного затишья вредоносный загрузчик Gootloader вновь оказался в центре внимания. Обновлённую кампанию в ноябре прошлого года зафиксировала команда Huntress, которая указала на возвращение разработчика, ранее связанного с группировкой Vanilla Tempest. Эта структура на тот момент использовала вымогатель Rhysida.
Анализ же новых образцов Gootloader показал, что автор вернулся к своей прежней роли — обеспечению первоначального доступа, но сделал ставку на усовершенствованные приёмы маскировки. Возвращение вредоносного инструмента сопровождалось обновлённой тактикой, которая затрудняет его обнаружение.
Главная особенность нового подхода — использование необычного ZIP-архива, который на первый взгляд кажется повреждённым. Однако этот приём позволяет злоумышленникам обойти автоматический анализ и скрыться от антивирусных решений, сохранив при этом возможность запуска на системах жертв.
Механизм распространения Gootloader остался прежним — заражение начинается с JScript-файла, упакованного в ZIP-архив. При открытии файла запускается PowerShell, который закрепляет вредоносное присутствие в системе. Но именно формат ZIP-архива делает эту кампанию особенно примечательной. Архивы содержат сотни склеенных между собой ZIP-файлов — это возможно благодаря тому, что распаковка начинается с конца файла. Количество таких фрагментов варьируется, и каждый загруженный архив уникален, что исключает возможность обнаружения по хэшу.
Архив также нарушает спецификацию ZIP: в его структуре отсутствуют обязательные байты в конце каталога, а некоторые поля, вроде номера диска или времени модификации, заполняются случайными значениями. Это мешает корректной работе таких инструментов, как 7-Zip или WinRAR, но не влияет на встроенное средство распаковки Windows. Таким образом, вредоносный файл остаётся доступен для запуска пользователем, но недоступен для большинства систем автоматического анализа.
Методика, применяемая разработчиком Gootloader, ориентирована на скрытность. Благодаря «поддельному» ZIP и уникальному содержимому каждый раз, вредоносный код трудно отследить стандартными средствами. Даже JScript-файл замаскирован под безвредный: он содержит тысячи строк неопасного кода, среди которых спрятаны вредоносные инструкции.
Запуск происходит прямо из временной папки Windows, поскольку файл не извлекается пользователем вручную. Это создаёт возможность для обнаружения — например, можно отследить запуск «wscript.exe» из каталога AppData\Local\Temp. Ещё один признак — появление LNK-файлов в папке автозагрузки, ссылающихся на скрипты в нестандартных местах.
Также стоит обратить внимание на способ исполнения второго этапа заражения. Вредонос использует старый формат коротких имён файлов в NTFS — это редкость в современных системах и может служить дополнительным индикатором. Кроме того, при запуске наблюдается цепочка процессов: от CScript к PowerShell и далее — что тоже может использоваться для обнаружения.
Для защиты можно изменить поведение системы по умолчанию и открыть JScript-файлы не через WScript, а в обычном текстовом редакторе. Это снизит риск случайного запуска вредоносного кода. При отсутствии необходимости в использовании JScript рекомендуется также ограничить или полностью заблокировать запуск WScript и CScript.
Несмотря на техническую сложность ZIP-архива, специалисты подчёркивают, что именно на этом этапе у защитной стороны есть шанс прервать цепочку заражения до того, как вредонос получит доступ к системе. Такой подход позволяет заранее блокировать вредоносные действия Gootloader, ещё до активации более разрушительных компонентов, связанных с программами-вымогателями.