Оператори шкідливого завантажувача Gootloader впровадили нестандартну техніку маскування, яка суттєво ускладнює роботу антивірусів, песочниць та систем автоматизованого аналізу. Малвар розповсюджується у вигляді навмисно пошкодженого ZIP-архіву, зібраного з сотень інших архівів, через що багато популярних інструментів вважають файл зіпсованим і не можуть коректно його розпакувати.
Як Gootloader маскує шкідливий код у пошкоджених ZIP-архівах
За даними дослідників компанії Expel, актуальні кампанії Gootloader доставляють JScript-файл у ZIP-архіві зі зміненою структурою. Вбудований архіватор Windows (Explorer) обробляє такі файли без помітних проблем, тоді як 7-Zip, WinRAR та частина аналітичних інструментів або не розпаковують архів зовсім, або працюють з ним некоректно.
Ключ до цієї техніки – маніпуляція внутрішньою структурою формату ZIP. Зловмисники «склеюють» від 500 до 1000 окремих ZIP-файлів в один, додаючи аномалії в заголовки. Усередині такого архіву виявляються сотні повторюваних Local File Header і декілька записів End Of Central Directory (EOCD). Для більшості утиліт це ознака серйозної неузгодженості, тож автоматичний розбір, індексація та статичний аналіз часто завершуються помилкою.
Windows при цьому використовує більш «толерантну» логіку: система орієнтується на першу коректну структуру каталогу й здебільшого ігнорує зайві або пошкоджені фрагменти. Оператори Gootloader цим активно користуються: для кінцевого користувача архів виглядає робочим, тоді як для систем безпеки він часто є «нечитабельним» та випадає з повноцінного аналізу.
Профіль загрози Gootloader та еволюція технік обходу захисту
Gootloader – це модульний loader, який із 2020 року широко застосовується різними кіберзлочинними групами, зокрема операторами програм-здирників. Його основна функція – непомітно закріпитися в системі та доставити наступні етапи атаки: бекстори, інфостилери або ransomware.
Після приблизно семимісячної паузи активність Gootloader, за даними Huntress Labs та DFIR Report, знову зросла в листопаді 2025 року. Уже в попередніх зразках фіксувалися «биті» ZIP-архіви, однак зміни обмежувалися невідповідностями назв файлів і окремих заголовків. Нинішня версія демонструє суттєво більш складну архітектуру архіву та помітне посилення механізмів ухилення від виявлення.
Ланцюжок зараження: від JScript і Windows Script Host до PowerShell
Після успішної розпаковки активується JScript-файл, який запускається через Windows Script Host (WScript) із тимчасового каталогу користувача. На цьому етапі Gootloader забезпечує собі стійкість, створюючи LNK-ярлики в папці автозавантаження (Startup), що вказують на другий JScript-скрипт. У результаті шкідливий код виконується як під час першого запуску, так і після кожного перезавантаження.
Далі включаються додаткові прийоми уникнення детектування. Пейлоад викликає CScript, використовуючи нестандартні NTFS-імена файлів, які ускладнюють побудову точних сигнатур та ручний аналіз. Після цього стартує ланцюжок PowerShell-процесів: один екземпляр PowerShell породжує інший, що є типовою тактикою в сучасних атаках і нерідко обходить прості поведінкові правила («один процес – одна дія»).
Виявлення Gootloader: структурні аномалії ZIP та YARA-правила
Парадоксально, але ті самі аномалії, які ламають інструменти аналізу, можуть бути використані як надійний індикатор компрометації. Дослідники Expel запропонували YARA-правила, орієнтовані на структуру ZIP, а не на вміст окремих файлів. Це дозволяє виявляти Gootloader навіть після зміни коду скриптів або перейменування архівів.
Такі правила аналізують послідовність заголовків і шукають характерну комбінацію: велику кількість повторюваних Local File Header у поєднанні з множинними записами EOCD, притаманними саме «склеєним» архівам Gootloader. Підхід, заснований на структурних ознаках, менш чутливий до обфускації коду та ротації індикаторів і добре доповнює сигнатурний і поведінковий аналізи, що застосовуються в EDR-рішеннях.
Практичні рекомендації для SOC та blue team
Організаціям варто інтегрувати перевірку структурних аномалій ZIP-архівів у поштові шлюзи, веб-проксі, системи DLP та песочниці. Корисно відслідковувати ланцюжки типу «архів → скрипт → PowerShell», будувати детектори на багаторазовий запуск WScript/CScript із тимчасових каталогів і моніторити атипову активність PowerShell (завантаження з Інтернету, інлайн-код, кодування Base64 тощо).
Захист від зловживання Windows Script Host, JScript та PowerShell
Оскільки Windows Script Host є критичним елементом ланцюжка атаки, експерти Expel рекомендують змінити програму за замовчуванням для JScript-файлів (.js, .jse) на «Блокнот» або інший текстовий редактор. У такому разі подвійне клацання по скрипту відкриє текст, а не виконає код, що суттєво знижує ризик випадкового запуску малварі користувачем.
Якщо JScript не використовується з бізнес-цілями, доцільно повністю заблокувати виконання wscript.exe та cscript.exe у користувацьких контекстах і для контенту, завантаженого з Інтернету. Це можна реалізувати за допомогою Group Policy, AppLocker, Windows Defender Application Control або інших рішень класу application control. Додатково варто впровадити жорсткі політики для PowerShell (Constrained Language Mode, підписані скрипти, моніторинг через Script Block Logging та AMSI).
Сучасні кампанії на кшталт Gootloader демонструють, що зловмисники активно експлуатують слабкі місця у форматах файлів і системних інтерпретаторах. Щоб знизити ризик компрометації, організаціям потрібно поєднувати сигнатурні та поведінкові методи детектування, аналізувати нетипову структуру файлів, мінімізувати використання скриптових рушіїв там, де це можливо, а також регулярно переглядати політики роботи Windows Script Host та PowerShell. Інвестиції в структурний аналіз архівів, посилення контролю виконуваних скриптів і вдосконалення моніторингу ланцюжків «архів → скрипт → PowerShell» суттєво підвищать стійкість інфраструктури до подібних завантажувачів і зменшать імовірність успішного запуску руйнівних пейлоадів, включно з програмами-здирниками.
