El cargador de malware JavaScript (todavía conocido como JScript) llamado GootLoader Se ha observado el uso de un archivo ZIP con formato incorrecto que está diseñado para eludir los esfuerzos de detección al concatenar entre 500 y 1000 archivos.
“El actor crea un archivo mal formado como técnica anti-análisis”, dijo el investigador de seguridad de Expel, Aaron Walton, en un noticia compartido con The Hacker News. “Es sostener, muchas herramientas de desarchivado no pueden extraerlo de modo consistente, pero una aparejo de desarchivado crítica parece funcionar de modo consistente y confiable: la aparejo predeterminada integrada en los sistemas Windows”.
Esto conduce a un marco en el que el archivo no puede ser procesado por herramientas como WinRAR o 7-Zip y, por lo tanto, impide que muchos flujos de trabajo automatizados analicen el contenido del archivo. Al mismo tiempo, puede comunicarse mediante el desarchivador predeterminado de Windows, lo que garantiza que las víctimas del esquema de ingeniería social puedan extraer y ejecutar el malware JavaScript.
GootLoader generalmente se distribuye a través de tácticas de envenenamiento de optimización de motores de búsqueda (SEO) o publicidad maliciosa, dirigida a usuarios que buscan plantillas legales para llevarlos a sitios de WordPress comprometidos que albergan archivos ZIP maliciosos. Al igual que otros cargadores, está diseñado para entregar cargas efectos secundarias, incluido ransomware. El malware se ha detectado en estado salvaje desde al menos 2020.
A finales de octubre de 2025, las campañas de malware que propagaban el malware resurgieron con nuevos trucos: exprimir fuentes WOFF2 personalizadas con sustitución de glifos para ofuscar nombres de archivos y explotar el punto final de comentarios de WordPress (“/wp-comments-post.php”) para entregar las cargas ZIP cuando un usufructuario hace clic en el tallo “Descargar” en el sitio.
Los últimos hallazgos de Expel destacan la cambio continua de los métodos de entrega, donde los actores de amenazas emplean mecanismos de ofuscación más sofisticados para escamotear la detección.
- Concatene entre 500 y 1000 archivos para crear el archivo ZIP taimado
- Truncar el registro de fin del directorio central (EOCD) del archivo de modo que pierda dos bytes críticos de la estructura esperada, lo que desencadena errores de investigación.
- Aleatorizar títulos en campos no críticos, como número de disco y Número de discos, lo que hace que las herramientas de desarchivado esperen una secuencia de archivos ZIP que no existen.
“El número azaroso de archivos concatenados y los títulos aleatorios en campos específicos son una técnica de esparcimiento de defensa citación ‘hashbusting'”, explicó Walton.
“En la ejercicio, cada usufructuario que descargue un archivo ZIP de la infraestructura de GootLoader recibirá un archivo ZIP único, por lo que inquirir ese hash en otros entornos es inútil. El desarrollador de GootLoader utiliza hashbusting para el archivo ZIP y para el archivo JScript contenido en el archivo”.
Básicamente, la condena de ataque implica la entrega del archivo ZIP como un blob codificado con XOR, que se decodifica y se agrega repetidamente a sí mismo en el flanco del cliente (es sostener, en el navegador de la víctima) hasta que alcanza un tamaño determinado, evitando efectivamente los controles de seguridad diseñados para detectar la transmisión de un archivo ZIP.
Tan pronto como la víctima haga doble clic en el archivo ZIP descargado, el desarchivador predeterminado de Windows abrirá la carpeta ZIP que contiene la carga útil de JavaScript en el Explorador de archivos. Al iniciar el archivo JavaScript, a su vez, se activa su ejecución a través de “wscript.exe” desde una carpeta temporal, ya que el contenido del archivo no se extrajo explícitamente.
Luego, el malware JavaScript crea un archivo de llegada directo de Windows (LNK) en la carpeta Inicio para establecer la persistencia y, en última instancia, ejecuta un segundo archivo JavaScript usando cscript, generando comandos de PowerShell para admitir la infección a la ulterior etapa. En ataques anteriores de GootLoader, el script de PowerShell se utiliza para compilar información del sistema y percibir comandos de un servidor remoto.
Para contrarrestar la amenaza planteada por GootLoader, se recomienda a las organizaciones que consideren cortar “wscript.exe” y “cscript.exe” para que no ejecuten el contenido descargado si no es necesario y que utilicen un objeto de política de conjunto (GPO) para certificar que los archivos JavaScript se abran en el Bloc de notas de forma predeterminada, en emplazamiento de ejecutarlos a través de “wscript.exe”.
