Az új Gootloader-trükk: ezres ZIP-csapda leselkedik a háttérben

A Gootloader nevű, 2020 óta aktív kártevő ismét visszatért, és most még trükkösebb módszerrel bújik meg a rendszeren. A támadók olyan ZIP-állományokat készítenek, amelyek akár 1000 kisebb ZIP-fájlt is tartalmazhatnak egyetlen összefűzött archívumban. Ezeket a fájlokat kifejezetten azért formázzák hibásra, hogy a hagyományos elemzőprogramok – mint a 7-Zip vagy a WinRAR – hibát dobjanak vagy összeomoljanak, amikor megpróbálják kibontani az archívumot. Érdekesség, hogy a Windows beépített ZIP-kezelője viszont gond nélkül megnyitja ezeket a speciális fájlokat.

Új trükkök a védelem kijátszására

Az újabb kampányban a Gootloader üzemeltetői többszintű elrejtést alkalmaznak: véletlenszerűen átrendezik a lemeztartományokat leíró mezőket, metaadat-ütközéseket generálnak a fájlfejlécekben, és minden letöltéshez egyedi ZIP- és JScript-fájlt készítenek. Az archívumot ráadásul XOR-kódolt formában küldik, amelyet a kliens helyi gépén állítanak össze érvényes ZIP-állománnyá, így a hálózati ellenőrzés során is el tud rejtőzni.

A támadás menete és a védekezés esélyei

A kártékony JScript-fájl a Windows Script Hostban (WScript) aktiválódik egy ideiglenes mappából, majd a rendszerindításhoz is hozzáad egy parancsikont. Minden rendszerinduláskor újabb folyamat indul, amely PowerShell-szkriptet indít. Miközben a Gootloader a felismerést nehezítő hibás szerkezeteket alkalmaz, védelmi szempontból épp ezek a szokatlan szerkezeti elemek segíthetik a felfedezést. A kutatók szerint a védekezés egyik módja, ha a JScript-fájlokat a Windows Script Host helyett Jegyzettömbben nyitod meg, illetve célszerű letiltani a wscript.exe és cscript.exe futását, ha nincs szükség a JScript használatára.

2025, adrienne, www.bleepingcomputer.com alapján