Вредоносная программа Gootloader, обычно используемая для первоначального доступа в системы, теперь применяет некорректно сформированный ZIP-архив. Он предназначен для обхода обнаружения вредоноса путём объединения до 1000 архивов.

Вредоносная программа, представляющая собой заархивированный файл JScript, приводит к сбоям инструментов при попытке его анализа.

По словам исследователей, вредоносный файл успешно распаковывается с помощью стандартной утилиты Windows, но инструменты, использующие 7-Zip и WinRAR, терпят неудачу.

Gootloader активна с 2020 года и используется различными киберпреступными группами, в том числе для развёртывания программ-вымогателей. После семимесячного перерыва операции возобновились в ноябре прошлого года.

Хотя ранее при внедрении вредоноса и использовали некорректно сформированные ZIP-архивы, они содержали минимальные изменения, а при попытке извлечения данных возникали несоответствия в именах файлов.

Теперь операторы Gootloader внедрили гораздо более обширные механизмы обфускации. Они используют объединение до тысячи ZIP-архивов, усечённый конец центрального каталога (EOCD), в котором отсутствуют два обязательных байта, что нарушает работу парсера большинством инструментов, рандомизацию полей номеров дисков, заставляющая инструменты ожидать несуществующие многодисковые архивы.

Кроме того, операторы добавляют несоответствия метаданных между локальными заголовками файлов и записями центрального каталога и генерируют уникальные ZIP- и JScript-образцы для каждой загрузки, чтобы обойти статическое обнаружение.

Вредоносная программа доставляет ZIP-архив в виде XOR-кодированного блока, который декодируется и многократно добавляется на стороне клиента до достижения желаемого размера, избегая обнаружения в сети. После выполнения на хосте JScript-скрипт вредоносной программы активируется через Windows Script Host (WScript) из временного каталога и обеспечивает постоянное присутствие, добавляя в папку автозагрузки файлы ярлыков (.LNK), указывающие на второй JScript-файл.

Эта полезная нагрузка выполняется при первом запуске и при каждой загрузке системы, запуская CScript с короткими именами NTFS, а затем PowerShell, запускающий соответствующий сценарий.

Исследователи ИБ-компании Expel использовали структурные аномалии, которые позволяют защитникам обнаружить угрозу. Команда также поделилась правилом YARA, которое «может последовательно идентифицировать текущие ZIP-архивы».

Обнаружение основано на обнаружении определённой комбинации характеристик заголовка ZIP-архива, сотен повторяющихся заголовков локальных файлов и записей EOCD.

Исследователи рекомендуют специалистам по защите изменить приложение по умолчанию для открытия файлов JScript с Windows Script Host на «Блокнот», чтобы предотвратить их выполнение.

Для уменьшения поверхности атаки компания также Expel советует блокировать выполнение загруженного контента с помощью wscript.exe и cscript.exe, если файлы JScript не требуются.

Ранее исследователи сообщили, что киберпреступники с помощью онлайн-конвертеров крадут личную информацию и, в худшем случае, устанавливают вредоносное ПО на устройства жертв. Злоумышленники создают веб-сайты, на которых рекламируются бесплатные конвертеры документов, инструменты для скачивания или объединения файлов.

Исследователи нашли на сайте WordPress форму для загрузки PDF-файла, чтобы преобразовать его в файл .DOCX внутри .zip-архива. Но после прохождения определённых проверок — если пользователь находится в англоязычной стране и не посещал в течение последних 24 часов ту же подсеть класса C — пользователи вместо этого получают файл .JS внутри .zip-архива, а не настоящий .DOCX. Этот файл JavaScript включал вредонос Gootloader.