Операторы вредоноса Gootloader внедрили нетипичную технику маскировки, существенно усложняющую работу систем анализа и антивирусных решений. Малварь теперь поставляется в виде умышленно поврежденного ZIP-архива, «собранного» из сотен других архивов, что приводит к сбоям при распаковке во многих популярных инструментах.
Как Gootloader использует поврежденные ZIP-архивы
По данным исследователей компании Expel, актуальные кампании Gootloader распространяют архивированный JScript-файл, упакованный в специально искаженный ZIP-архив. Встроенный архиватор Windows обрабатывает такой файл без ошибок, однако инструменты на базе 7-Zip и WinRAR часто не справляются с распаковкой или работают некорректно.
Ключевая идея техники — манипуляция структурой ZIP. Злоумышленники «склеивают» от 500 до 1000 отдельных ZIP-архивов в один файл и добавляют дополнительные аномалии в заголовки. В результате внутри такого архива обнаруживаются сотни повторяющихся Local File Header и множество записей End Of Central Directory (EOCD). Для многих утилит это выглядит как поврежденный или неконсистентный архив, из-за чего автоматический разбор и статический анализ дают сбой.
В то же время Windows использует более толерантную логику обработки ZIP, фактически ориентируясь на «первую рабочую» структуру и игнорируя лишние фрагменты. Этим и пользуются операторы Gootloader: для жертвы файл открывается и запускается без проблем, тогда как для аналитических систем и песочниц он часто оказывается «нечитаемым».
Gootloader: краткий профиль угрозы
Gootloader — это модульный загрузчик (loader), активно применяемый с 2020 года различными киберпреступными группировками, в том числе операторами шифровальщиков. Его основная задача — незаметно проникнуть в систему и доставить последующие вредоносные компоненты: бэкдоры, инфостилеры или рансомварь.
После примерно семимесячной паузы активность Gootloader возобновилась в ноябре 2025 года. На это ранее указывали специалисты Huntress Labs и DFIR Report. Уже в тех образцах были замечены «битые» ZIP-архивы, однако модификации структуры были сравнительно незначительными: в основном наблюдались несоответствия имен файлов и отдельных заголовков. В новых версиях разработчики вредоноса значительно усложнили архитектуру архива и усилили механизмы уклонения.
Цепочка заражения: от JScript до PowerShell
После успешной распаковки срабатывает JScript-файл, который запускается через Windows Script Host (WScript) из временной директории пользователя. На этом этапе Gootloader закрепляется в системе, создавая ярлыки LNK в папке автозагрузки (Startup), указывающие на второй JScript-скрипт. Это обеспечивает персистентность: вредоносный код выполняется при первом запуске и при каждой последующей перезагрузке системы.
Далее в ход идут дополнительные трюки. Пейлоад сначала инициирует запуск CScript с использованием нестандартных NTFS-имен файлов, что затрудняет отслеживание и сигнатурный анализ. Затем включается цепочка PowerShell: один процесс PowerShell порождает другой, что характерно для многих современных атак и часто используется для обхода простых поведенческих правил безопасности.
Детектирование Gootloader: структурные аномалии и YARA
Интересно, что те же самые аномалии, которые мешают анализу, могут быть использованы для надежного обнаружения загрузчика. Исследователи Expel сформировали YARA-правило, ориентированное не на содержимое файлов, а на структурные признаки ZIP-архива.
Сигнатура анализирует последовательность и комбинацию заголовков: наличие большого количества повторяющихся Local File Header и множества записей EOCD, характерных именно для «склеенных» архивов Gootloader. Такой подход позволяет выявлять вредонос даже при изменении содержимого файлов, имени архива или незначительных модификациях скрипта.
Практические рекомендации по защите инфраструктуры
Эксперты рекомендуют организациям не ограничиваться классическим антивирусом и интегрировать в процессы безопасности анализ структурных аномалий файлов. Это особенно актуально для почтовых шлюзов, веб-прокси и систем песочничного анализа, через которые часто проходят ZIP-архивы неизвестного происхождения.
Защита от злоупотребления JScript и Windows Script Host
Отдельное внимание специалисты Expel уделяют защите от злоупотребления Windows Script Host, который является ключевым звеном в цепочке Gootloader. Один из простейших, но эффективных шагов — изменить приложение по умолчанию для открытия JScript-файлов (.js, .jse) с Windows Script Host на «Блокнот». В этом случае двойной щелчок по скрипту не приведет к его выполнению, а лишь откроет текст, что значительно снижает риск случайного запуска малвари пользователем.
Если JScript в инфраструктуре не используется по бизнес-причинам, эксперты рекомендуют полностью заблокировать выполнение wscript.exe и cscript.exe для загруженного контента и в пользовательских контекстах. Это можно реализовать через групповые политики, AppLocker, Windows Defender Application Control или другие решения класса application control. Дополнительно стоит настроить мониторинг и оповещение по подозрительным цепочкам вида: «архив → скрипт → PowerShell».
В условиях эволюции таких угроз, как Gootloader, организациям важно комбинировать сигнатурные и поведенческие методы детектирования, обращать внимание на нетипичную структуру файлов и минимизировать использование скриптовых интерпретаторов там, где это возможно. Регулярный аудит настроек Windows Script Host, ограничение выполнения JScript и PowerShell, а также внедрение правил на основе структурных аномалий ZIP-архивов позволяют существенно повысить устойчивость инфраструктуры к подобным загрузчикам и снизить риск внедрения более разрушительных полезных нагрузок, включая шифровальщики.
