Вредонос Gootloader стал использовать ZIP-архивы из 1000 элементов

Вредоносная программа Gootloader, обычно используемая для первоначального доступа в системы, теперь применяет некорректно сформированный ZIP-архив. Он предназначен для обхода обнаружения вредоноса путём объединения до 1000 архивов.

Вредоносная программа, представляющая собой заархивированный файл JScript, приводит к сбоям инструментов при попытке его анализа.

По словам исследователей, вредоносный файл успешно распаковывается с помощью стандартной утилиты Windows, но инструменты, использующие 7-Zip и WinRAR, терпят неудачу.

Gootloader активна с 2020 года и используется различными киберпреступными группами, в том числе для развёртывания программ-вымогателей. После семимесячного перерыва операции возобновились в ноябре прошлого года.

Хотя ранее при внедрении вредоноса и использовали некорректно сформированные ZIP-архивы, они содержали минимальные изменения, а при попытке извлечения данных возникали несоответствия в именах файлов.

Теперь операторы Gootloader внедрили гораздо более обширные механизмы обфускации. Они используют объединение до тысячи ZIP-архивов, усечённый конец центрального каталога (EOCD), в котором отсутствуют два обязательных байта, что нарушает работу парсера большинством инструментов, рандомизацию полей номеров дисков, заставляющая инструменты ожидать несуществующие многодисковые архивы.

Кроме того, операторы добавляют несоответствия метаданных между локальными заголовками файлов и записями центрального каталога и генерируют уникальные ZIP- и JScript-образцы для каждой загрузки, чтобы обойти статическое обнаружение.

Вредоносная программа доставляет ZIP-архив в виде XOR-кодированного блока, который декодируется и многократно добавляется на стороне клиента до достижения желаемого размера, избегая обнаружения в