Il malware GootLoader continua a evolversi e negli ultimi mesi è stato osservato mentre usa archivi ZIP malformati per eludere i controlli di sicurezza e ostacolare l’analisi automatizzata. Questo loader in JavaScript, noto anche come JScript, punta a consegnare payload secondari e in diversi scenari può aprire la strada a infezioni più gravi, inclusi ransomware. La novità più rilevante riguarda una tecnica in cui gli attaccanti concatenano tra 500 e 1000 archivi ZIP in un unico file, creando un pacchetto anomalo che molti strumenti di estrazione comuni non riescono a gestire in modo affidabile.

Il punto critico è che software diffusi come WinRAR e 7-Zip possono fallire l’estrazione o generare errori di parsing, riducendo la probabilità che sandbox e pipeline automatizzate analizzino correttamente il contenuto. Al contrario, l’estrattore predefinito di Windows tende ad aprire l’archivio e mostrare il file JavaScript, aumentando le chance che la vittima lo esegua tramite ingegneria sociale. In pratica, la scelta del formato e del comportamento di Windows diventa parte integrante della catena di infezione.

Tra le tecniche di evasione spicca la manipolazione del record EOCD (end of central directory), troncato in modo da mancare di due byte fondamentali. Questo dettaglio provoca errori in diversi parser ZIP. Inoltre vengono randomizzati campi non critici come disk number e number of disks, inducendo alcuni tool ad aspettarsi una sequenza di archivi che in realtà non esiste. L’insieme di varianti casuali è pensato per ottenere hashbusting, cioè la generazione di file sempre diversi per rendere inefficaci regole basate su hash e confronti statici.

La distribuzione di GootLoader avviene spesso tramite SEO poisoning e malvertising, con utenti indirizzati verso siti WordPress compromessi che offrono falsi template legali e pulsanti di download. In alcune campagne il payload ZIP viene consegnato come blob codificato XOR, decodificato nel browser e poi riappeso ripetutamente fino a raggiungere una dimensione target, aggirando controlli che cercano firme tipiche del traffico ZIP.

Dopo il doppio clic, il file JavaScript può essere eseguito tramite wscript.exe anche senza estrazione esplicita, quindi crea persistenza con un collegamento LNK nella cartella Startup e avvia ulteriori fasi con cscript e comandi PowerShell. In ambito aziendale è consigliabile limitare l’esecuzione di wscript.exe e cscript.exe per contenuti scaricati e configurare criteri per aprire i file JS in Notepad invece di eseguirli.