Исследователь безопасности Аарон Уолтон из компании Expel обнаружил новую изощренную модификацию загрузчика вредоносного ПО GootLoader, также известного как JScript-загрузчик. Главной инновацией злоумышленников стало использование специально деформированных ZIP-архивов, которые создаются путем конкатенации (объединения) от 500 до 1000 отдельных архивов в один файл. Эта тактика разработана для доставки вторичных полезных нагрузок, включая программы-вымогатели, и направлена на эффективный обход систем обнаружения угроз.
Основная цель использования такого «битого» архива заключается в нарушении работы автоматизированных инструментов анализа при сохранении полной функциональности для жертвы. Популярные сторонние утилиты архивации, такие как WinRAR и 7-Zip, не могут последовательно или корректно извлечь содержимое такого файла, выдавая ошибки. Однако стандартный архиватор Windows, встроенный в операционную систему по умолчанию, успешно обрабатывает структуру и открывает папку через File Explorer, позволяя пользователю запустить вредоносное содержимое.
Для реализации этой схемы хакеры применяют сложные методы технической обфускации. Помимо склеивания сотен файлов, они намеренно усекают запись «End of Central Directory» (EOCD) архива, удаляя два критически важных байта, что провоцирует ошибки парсинга у стандартных сканеров безопасности. Дополнительно используется рандомизация значений в некритичных полях, таких как номер диска и общее количество дисков, что заставляет аналитические инструменты ожидать последовательность ZIP-томов, которой в реальности не существует.
Злоумышленники также внедрили технику уклонения от защиты, известную как «Hashbusting» (смена хеша), обеспечивающую уникальность цифрового отпечатка для каждой загрузки. Благодаря конкатенации случайного количества файлов и внедрению рандомизированных данных, каждый пользователь получает уникальный ZIP-архив и уникальный файл JScript внутри него. Это делает поиск угроз по конкретным файловым хешам в других средах абсолютно бесполезным, так как индикаторы компрометации постоянно меняются.
Стратегия распространения GootLoader опирается на методы SEO-отравления и вредоносную рекламу (malvertising). Преступники оптимизируют зараженные страницы так, чтобы они появлялись в топе поисковой выдачи, ориентируясь на пользователей, ищущих юридические шаблоны документов. В качестве платформы для размещения своих скриптов хакеры используют взломанные сайты на базе WordPress. В конце октября 2025 года кампании GootLoader возобновились с использованием новых тактик, включая обфускацию имен файлов через пользовательские шрифты WOFF2 с подменой глифов и эксплуатацию конечной точки «/wp-comments-post.php» для доставки полезной нагрузки.
Цепочка атаки начинается с передачи XOR-кодированного двоичного объекта, который браузер собирает и многократно добавляет к самому себе до достижения определенного размера, обходя сетевые фильтры. После того как жертва открывает ZIP-файл стандартными средствами Windows и запускает JavaScript, выполнение происходит через системный процесс «wscript.exe» из временной папки. Для обеспечения персистентности (закрепления в системе) вредонос создает ярлык Windows (LNK) в папке автозагрузки, а затем инициирует выполнение второго скрипта через «cscript.exe», который в дальнейшем запускает команды PowerShell.
Впервые обнаруженный в 2020 году, GootLoader продолжает оставаться серьезной угрозой. Эксперты рекомендуют организациям принять превентивные меры, такие как блокировка выполнения процессов «wscript.exe» и «cscript.exe» для любого загруженного контента. Эффективным способом защиты также является настройка объектов групповой политики (GPO) таким образом, чтобы файлы JavaScript по умолчанию открывались в программе «Блокнот» (Notepad), а не исполнялись операционной системой как программный код.
Изображение носит иллюстративный характер
Основная цель использования такого «битого» архива заключается в нарушении работы автоматизированных инструментов анализа при сохранении полной функциональности для жертвы. Популярные сторонние утилиты архивации, такие как WinRAR и 7-Zip, не могут последовательно или корректно извлечь содержимое такого файла, выдавая ошибки. Однако стандартный архиватор Windows, встроенный в операционную систему по умолчанию, успешно обрабатывает структуру и открывает папку через File Explorer, позволяя пользователю запустить вредоносное содержимое.
Для реализации этой схемы хакеры применяют сложные методы технической обфускации. Помимо склеивания сотен файлов, они намеренно усекают запись «End of Central Directory» (EOCD) архива, удаляя два критически важных байта, что провоцирует ошибки парсинга у стандартных сканеров безопасности. Дополнительно используется рандомизация значений в некритичных полях, таких как номер диска и общее количество дисков, что заставляет аналитические инструменты ожидать последовательность ZIP-томов, которой в реальности не существует.
Злоумышленники также внедрили технику уклонения от защиты, известную как «Hashbusting» (смена хеша), обеспечивающую уникальность цифрового отпечатка для каждой загрузки. Благодаря конкатенации случайного количества файлов и внедрению рандомизированных данных, каждый пользователь получает уникальный ZIP-архив и уникальный файл JScript внутри него. Это делает поиск угроз по конкретным файловым хешам в других средах абсолютно бесполезным, так как индикаторы компрометации постоянно меняются.
Стратегия распространения GootLoader опирается на методы SEO-отравления и вредоносную рекламу (malvertising). Преступники оптимизируют зараженные страницы так, чтобы они появлялись в топе поисковой выдачи, ориентируясь на пользователей, ищущих юридические шаблоны документов. В качестве платформы для размещения своих скриптов хакеры используют взломанные сайты на базе WordPress. В конце октября 2025 года кампании GootLoader возобновились с использованием новых тактик, включая обфускацию имен файлов через пользовательские шрифты WOFF2 с подменой глифов и эксплуатацию конечной точки «/wp-comments-post.php» для доставки полезной нагрузки.
Цепочка атаки начинается с передачи XOR-кодированного двоичного объекта, который браузер собирает и многократно добавляет к самому себе до достижения определенного размера, обходя сетевые фильтры. После того как жертва открывает ZIP-файл стандартными средствами Windows и запускает JavaScript, выполнение происходит через системный процесс «wscript.exe» из временной папки. Для обеспечения персистентности (закрепления в системе) вредонос создает ярлык Windows (LNK) в папке автозагрузки, а затем инициирует выполнение второго скрипта через «cscript.exe», который в дальнейшем запускает команды PowerShell.
Впервые обнаруженный в 2020 году, GootLoader продолжает оставаться серьезной угрозой. Эксперты рекомендуют организациям принять превентивные меры, такие как блокировка выполнения процессов «wscript.exe» и «cscript.exe» для любого загруженного контента. Эффективным способом защиты также является настройка объектов групповой политики (GPO) таким образом, чтобы файлы JavaScript по умолчанию открывались в программе «Блокнот» (Notepad), а не исполнялись операционной системой как программный код.
