Die Malware-Familie Gootloader setzt in aktuellen Kampagnen auf eine ungewoehnliche Tarntechnik: Der Schadcode wird in absichtlich beschaedigten ZIP-Archiven ausgeliefert, die viele gaengige Analyse- und Entpack-Tools aus dem Tritt bringen, waehrend Windows selbst die Dateien problemlos verarbeitet.
Neue Evasion-Technik: absichtlich manipulierte ZIP-Archive
Laut Analysen von Expel wird der eigentliche Schadcode als JScript-Datei verbreitet, die in einem speziell konstruierten ZIP-Archiv steckt. Auffaellig ist, dass der in Windows integrierte ZIP-Handler diese Archive ohne Fehlermeldung oeffnen kann, waehrend Tools wie 7-Zip oder WinRAR haeufig scheitern oder inkonsistente Ergebnisse liefern.
Der Kern der Technik liegt in der Manipulation der ZIP-Struktur. Die Angreifer fuegen zwischen 500 und 1000 einzelne ZIP-Archive zu einer einzigen Datei zusammen und versehen diese mit zusaetzlichen Anomalien in den Kopfzeilen. Dadurch enthaelt das Archiv Hunderte wiederholter Local File Header sowie zahlreiche End Of Central Directory (EOCD)-Strukturen.
Technischer Hintergrund: Wie Gootloader die ZIP-Struktur ausnutzt
Viele Sicherheits- und Forensik-Tools erwarten eine klar definierte, konsistente ZIP-Struktur. Treffen sie auf Archive mit multiplen EOCD-Eintraegen oder extrem vielen Local File Headern, stuft die Engine die Datei als beschaedigt ein. Das fuehrt dazu, dass automatischer Scan, statische Analyse und Sandbox-Entpackroutinen abbrechen oder keine verwertbaren Ergebnisse liefern.
Windows dagegen verfolgt eine tolerantere Strategie: Das Betriebssystem orientiert sich an der ersten gueltigen Struktur und ignoriert ueberfluessige oder fehlerhafte Bereiche. Genau diesen Unterschied zwischen Implementierungen nutzt Gootloader aus: Fuer die Endnutzer wirkt das Archiv vollkommen unauffaellig, fuer viele Analysepipelines hingegen als defekt oder unlesbar.
Gootloader als Loader in Ransomware-Ketten
Gootloader ist ein modularer Loader, der seit etwa 2020 in verschiedenen kriminellen Kampagnen eingesetzt wird, haeufig als Einstiegspunkt fuer Ransomware, Backdoors oder Infostealer. Seine Aufgabe ist es, unbemerkt auf das System zu gelangen und weitere Schadkomponenten nachzuladen.
Nach einer rund siebenmonatigen Ruhephase wurde die Aktivitaet von Gootloader im November 2025 erneut beobachtet. Bereits in frueheren Varianten kamen manipulierte ZIP-Archive zum Einsatz, allerdings mit vergleichsweise simplen Inkonsistenzen, etwa in Dateinamen oder einzelnen Header-Feldern. Die aktuellen Kampagnen zeigen eine deutlich komplexere ZIP-Architektur und massiv ausgebaute Evasion-Mechanismen.
Infektionskette: Von JScript ueber Windows Script Host zu PowerShell
Nach erfolgreicher Entpackung startet ein JScript-File ueber den Windows Script Host (WScript) aus dem temporären Benutzerverzeichnis. In einem zweiten Schritt richtet Gootloader Persistenz ein, indem es LNK-Verknuepfungen im Autostart-Ordner (Startup) anlegt, die auf einen weiteren JScript-Code zeigen. So wird die Malware bei jedem Systemstart erneut ausgefuehrt.
Zur Verschleierung wird anschliessend CScript mit ungewoehnlichen NTFS-Dateinamen aufgerufen, was die Erkennung durch signaturbasierte Regeln erschwert. Darauf folgt eine PowerShell-Kaskade, bei der ein PowerShell-Prozess einen weiteren erzeugt – ein in vielen modernen Angriffen beobachtetes Muster, das einfache Verhaltensregeln in Endpoint-Loesungen umgehen soll.
Erkennung ueber strukturelle Anomalien und YARA-Regeln
Die gleichen Anomalien, die klassische Tools ausbremsen, eignen sich zugleich als starke Erkennungsmerkmale. Die von Expel vorgestellten YARA-Regeln konzentrieren sich nicht auf den Dateiinhalte, sondern auf die Struktur des ZIP-Archivs.
Im Fokus stehen dabei Sequenz und Kombination der Header: Ein ueberproportional grosses Aufkommen von Local File Headern zusammen mit vielen EOCD-Eintraegen weist typischerweise auf die von Gootloader verwendete „verklebt“-Technik hin. Dieser strukturbezogene Ansatz erhoeht die Robustheit der Erkennung, selbst wenn Dateinamen, eingebettete Skripte oder einzelne Payloads veraendert werden.
Praxisempfehlungen: Schutz vor Gootloader und missbrauchtem Windows Script Host
Härtung von JScript und Windows Script Host
Da der Windows Script Host ein zentrales Glied in der Angriffskette ist, sollten Organisationen dessen Nutzung kritisch pruefen. Eine einfache, aber wirksame Massnahme besteht darin, das Standardprogramm fuer .js- und .jse-Dateien von WScript auf einen Texteditor wie den Editor (Notepad) umzustellen. Ein Doppelklick oeffnet dann den Quelltext, anstatt den Code auszufuehren, und reduziert so das Risiko versehentlicher Ausfuehrung.
Wo JScript betrieblich nicht erforderlich ist, empfiehlt sich die vollstaendige Blockierung von wscript.exe und cscript.exe fuer heruntergeladene Dateien und in Benutzerkontexten. Dies laesst sich etwa ueber Gruppenrichtlinien, AppLocker, Windows Defender Application Control oder andere Application-Control-Loesungen umsetzen.
Mehrstufige Verteidigung und Monitoring von Angriffsketten
Zusätzlich sollten Mail-Gateways, Web-Proxys und Sandboxes um Pruefungen auf strukturelle Dateianomalien ergaenzt werden, insbesondere fuer ZIP-Archive unbekannter Herkunft. Sinnvoll ist ausserdem ein gezieltes Monitoring auf typische Ketten wie „Archiv → Skript → PowerShell“ und das Abgleichen mit etablierten Angriffsmustern (z.B. MITRE ATT&CK).
Organisationen, die ihre Widerstandsfaehigkeit gegen Loader wie Gootloader erhoehen wollen, sollten bestehende Signatur-Ansätze um verhaltensbasierte Erkennung und strukturorientierte Analyse erweitern, den Einsatz von Skript-Interpreter minimieren und regelmaessig die Konfiguration von Windows Script Host, JScript und PowerShell ueberpruefen. Wer diese Massnahmen kombiniert und in Incident-Response- sowie Awareness-Programme integriert, reduziert das Risiko erfolgreich nachgeladener Ransomware und anderer Schadpayloads deutlich.
