Le chargeur de malware JavaScript (également connu sous le nom de JScript) appelé GootLoader L'utilisation d'un fichier ZIP mal formé, conçu pour contourner les efforts de détection en concaténant entre 500 et 1 000 fichiers, a été observée.
“L'acteur crée un fichier mal formé comme technique anti-analyse”, a déclaré Aaron Walton, chercheur en sécurité chez Expel, dans un rapport partagé avec The Hacker News. “En d'autres termes, de nombreux outils de désarchivage ne parviennent pas à l'extraire de manière cohérente, mais un outil de désarchivage essentiel semble fonctionner de manière cohérente et fiable : l'outil par défaut intégré aux systèmes Windows.”
Cela conduit à un scénario dans lequel l'archive ne peut pas être traitée par des outils comme WinRAR ou 7-Zip et empêche donc de nombreux flux de travail automatisés d'analyser le contenu de l'archive. Dans le même temps, il peut être ouvert à l'aide du désarchiveur Windows par défaut, garantissant ainsi que les victimes du programme d'ingénierie sociale peuvent extraire et exécuter le malware JavaScript.
GootLoader est généralement distribué via des tactiques d'empoisonnement d'optimisation des moteurs de recherche (SEO) ou de publicité malveillante, ciblant les utilisateurs à la recherche de modèles légaux pour les diriger vers des sites WordPress compromis hébergeant des fichiers ZIP malveillants. Comme les autres chargeurs, il est conçu pour fournir des charges utiles secondaires, notamment des ransomwares. Le malware est détecté dans la nature depuis au moins 2020.
Fin octobre 2025, les campagnes de malware diffusant le malware ont réapparu avec de nouvelles astuces : tirer parti des polices WOFF2 personnalisées avec remplacement de glyphes pour obscurcir les noms de fichiers et exploiter le point de terminaison des commentaires WordPress (“/wp-comments-post.php”) pour fournir des téléchargements ZIP lorsqu'un utilisateur clique sur le bouton “Télécharger” sur le site.
Les dernières découvertes d'Expel mettent en évidence l'évolution continue des méthodes de diffusion, les acteurs malveillants employant des mécanismes d'obscurcissement plus sophistiqués pour échapper à la détection.
- Concaténer 500 à 1 000 fichiers pour créer un fichier ZIP malveillant
- Tronquez l'enregistrement de fin du répertoire central (EOCD) du fichier afin qu'il manque deux octets critiques de la structure attendue, déclenchant des erreurs d'analyse.
- Randomisez les valeurs dans les champs non critiques, tels que le numéro de disque et le nombre de disques, ce qui amène les outils de désarchivage à s'attendre à un flux de fichiers ZIP qui n'existent pas.
“Le nombre aléatoire de fichiers concaténés et les valeurs aléatoires dans des champs spécifiques constituent une technique d'évasion de la défense appelée” hashbusting “”, a expliqué Walton.
“En pratique, chaque utilisateur qui télécharge un fichier ZIP depuis l'infrastructure GootLoader recevra un fichier ZIP unique, donc rechercher ce hachage dans d'autres environnements est inutile. Le développeur GootLoader utilise le hashbusting pour le fichier ZIP et pour le fichier JScript contenu dans le fichier.”
Fondamentalement, la chaîne d'attaque consiste à livrer le fichier ZIP sous forme de
Dès que la victime double-clique sur le fichier ZIP téléchargé, le désarchiveur Windows par défaut ouvrira le dossier ZIP contenant la charge utile JavaScript dans l'Explorateur de fichiers. Le démarrage du fichier JavaScript déclenche à son tour son exécution via “wscript.exe” depuis un dossier temporaire, puisque le contenu du fichier n'a pas été explicitement extrait.
Le malware JavaScript crée ensuite un fichier de raccourci Windows (LNK) dans le dossier de démarrage pour établir la persistance et exécute finalement un deuxième fichier JavaScript à l'aide de cscript, générant des commandes PowerShell pour faire passer l'infection à l'étape suivante. Lors des précédentes attaques GootLoader, le script PowerShell était utilisé pour collecter des informations système et recevoir des commandes d'un serveur distant.
Pour contrer la menace posée par GootLoader, il est recommandé aux organisations d'envisager d'empêcher « wscript.exe » et « cscript.exe » d'exécuter le contenu téléchargé si cela n'est pas nécessaire, et d'utiliser un objet de stratégie de groupe (GPO) pour garantir que les fichiers JavaScript sont ouverts dans le Bloc-notes par défaut, plutôt que de les exécuter via « wscript.exe ».
