- Вредоносная программа Gootloader теперь использует до 1000 объединённых ZIP-архивов с некорректной структурой для обхода антивирусных средств.
- Стандартный архив успешно распаковывается Windows, но инструменты 7-Zip и WinRAR не справляются из-за нарушений формата.
- Для обнаружения угрозы рекомендовано блокировать выполнение JScript через Windows Script Host и использовать специальное правило YARA для идентификации аномальных архивов.
Исследователи информационной безопасности сообщили о существенном усложнении методов, которыми вредоносная программа Gootloader обеспечивает заражение компьютеров. Этот зловред уже с 2020 года применяется разными киберпреступными группами, в частности для распространения программ-вымогателей. После нескольких месяцев простоя в 2021 году его использование возобновилось, но с новыми усовершенствованными способами обхода защиты.
Новейшая версия Gootloader распространяется внутри сложной структуры ZIP-архивов, объединяющей до тысячи элементов. Вредоносный файл представляет собой JScript-скрипт, помещённый в архив с явно нарушенной структурой. Среди нарушений — усечённый конец центрального каталога архива (EOCD), отсутствие обязательных байтов, рандомизация номеров дисков и расхождения в метаданных между локальными заголовками и центральным каталогом. Такие хитрости становятся серьёзным препятствием для популярных архиваторов, таких как 7-Zip и WinRAR, которые не могут корректно обработать данный архив. В то же время стандартный архиватор Windows работает без сбоев, что позволяет скрипту активироваться без проблем.
Вредоносный сценарий поступает в виде блока данных, закодированного XOR-операцией, который распаковывается на стороне клиента и многократно добавляется для достижения необходимого размера, что затрудняет его обнаружение сетевыми системами защиты. При запуске через Windows Script Host скрипт обеспечивает постоянное присутствие в системе, добавляя ярлыки в автозагрузку и выполняя дополнительный вредоносный код через PowerShell.
Специалисты компании Expel, обнаружившие описанную технику, рекомендуют для защиты изменить ассоциацию файлов JScript, чтобы они открывались не через интерпретатор Windows Script Host, а в текстовом редакторе, а также блокировать исполнение с помощью wscript.exe и cscript.exe, если скрипты не нужны в работе. Чтобы повысить шансы на обнаружение таких угроз, исследователи поделились правилом YARA, которое выявляет аномальную структуру ZIP-архивов с сотнями повторяющихся заголовков и нарушениями в EOCD.
Данный случай демонстрирует, как киберпреступники постоянно совершенствуют методы обфускации и обхода механизмов защиты, используя технические недостатки в распространённых инструментах и форматах файлов для укрепления своих позиций в сетях жертв. Это подчёркивает важность применения многоуровневой защиты, регулярного обновления средств безопасности и повышения осведомлённости пользователей о современных угрозах.
