GootLoader, noto malware basato su JavaScript, è tornato a colpire con nuove tecniche di offuscamento che sfruttano i font personalizzati per nascondere i file dannosi su siti WordPress compromessi. Dopo una breve pausa, la sua attività è nuovamente aumentata, come segnalato da recenti analisi di sicurezza che hanno individuato diverse infezioni da fine ottobre 2025. In almeno due casi, l’infezione ha portato a una compromissione del domain controller in meno di 17 ore dall’attacco iniziale.

Nuove tecniche di offuscamento con font personalizzati

Il punto di forza della nuova campagna di GootLoader sta nell’utilizzo di font WOFF2 creati su misura, capaci di sostituire i glifi per offuscare i nomi dei file. In pratica, i file ZIP infetti vengono consegnati tramite endpoint dei commenti WordPress, con ogni archivio cifrato usando una chiave unica. Il malware è spesso diffuso sfruttando tecniche di SEO poisoning, indirizzando le vittime verso siti compromessi che ospitano archivi ZIP malevoli.

Meccanismo di evasione tramite font e JavaScript

Questa nuova modalità prevede che, se un utente copia il nome del file o ispeziona il codice sorgente della pagina, visualizzi una sequenza di caratteri apparentemente incomprensibili. Tuttavia, grazie al font personalizzato integrato nella pagina tramite JavaScript e codificato in Z85, nel browser della vittima questi caratteri si trasformano in nomi di file perfettamente leggibili e credibili, come ad esempio “Florida_HOA_Committee_Meeting_Guide.pdf”. Questo stratagemma rende molto più difficile l’analisi statica automatizzata e inganna sia utenti che sistemi di sicurezza.

Manipolazione dell’archivio ZIP per eludere le analisi

Un ulteriore livello di evasione è dato dalla manipolazione dell’archivio ZIP: se aperto con strumenti come VirusTotal o Python, il file sembra contenere solo un innocuo file .TXT, mentre su Windows File Explorer si estrae correttamente il vero payload JavaScript. Questo trucchetto permette di eludere molti sistemi di analisi automatica e rallenta l’individuazione della minaccia.

Funzionalità del payload e movimento laterale

Il payload JavaScript ha la funzione di installare Supper, un backdoor capace di controllo remoto e proxy SOCKS5. Gli attaccanti, in almeno una delle infezioni documentate, hanno utilizzato Windows Remote Management per spostarsi lateralmente nella rete e creare un nuovo utente amministratore sul domain controller. L’offuscamento del codice e la cifratura personalizzata aumentano la difficoltà di analisi, ma le funzionalità principali rimangono semplici: accesso remoto e proxy.

La strategia di GootLoader dimostra che, anche senza vulnerabilità avanzate, strumenti ben offuscati e tecniche di evasione sofisticate possono avere un impatto devastante sulle infrastrutture aziendali, soprattutto quando veicolati tramite piattaforme popolari come WordPress.