WinRAR не откроет, а вирус — вполне: авторы Gootloader нашли необычную лазейку в системах защиты
NewsMakerПочему «битый» ZIP-архив может быть опаснее обычного файла?
После продолжительного затишья вредоносный загрузчик Gootloader вновь оказался в центре внимания. Обновлённую кампанию в ноябре прошлого года зафиксировала команда Huntress, которая указала на возвращение разработчика, ранее связанного с группировкой Vanilla Tempest. Эта структура на тот момент использовала вымогатель Rhysida.
Анализ же новых образцов Gootloader показал , что автор вернулся к своей прежней роли — обеспечению первоначального доступа, но сделал ставку на усовершенствованные приёмы маскировки. Возвращение вредоносного инструмента сопровождалось обновлённой тактикой, которая затрудняет его обнаружение.
Главная особенность нового подхода — использование необычного ZIP-архива , который на первый взгляд кажется повреждённым. Однако этот приём позволяет злоумышленникам обойти автоматический анализ и скрыться от антивирусных решений, сохранив при этом возможность запуска на системах жертв.
Механизм распространения Gootloader остался прежним — заражение начинается с JScript-файла, упакованного в ZIP-архив. При открытии файла запускается PowerShell, который закрепляет вредоносное присутствие в системе. Но именно формат ZIP-архива делает эту кампанию особенно примечательной. Архивы содержат сотни склеенных между собой ZIP-файлов — это возможно благодаря тому, что распаковка начинается с конца файла. Количество таких фрагментов варьируется, и каждый загруженный архив уникален, что исключает возможность обнаружения по хэшу.
После продолжительного затишья вредоносный загрузчик Gootloader вновь оказался в центре внимания. Обновлённую кампанию в ноябре прошлого года зафиксировала команда Huntress, которая указала на возвращение разработчика, ранее связанного с группировкой Vanilla Tempest. Эта структура на тот момент использовала вымогатель Rhysida.
Анализ же новых образцов Gootloader показал , что автор вернулся к своей прежней роли — обеспечению первоначального доступа, но сделал ставку на усовершенствованные приёмы маскировки. Возвращение вредоносного инструмента сопровождалось обновлённой тактикой, которая затрудняет его обнаружение.
Главная особенность нового подхода — использование необычного ZIP-архива , который на первый взгляд кажется повреждённым. Однако этот приём позволяет злоумышленникам обойти автоматический анализ и скрыться от антивирусных решений, сохранив при этом возможность запуска на системах жертв.
Механизм распространения Gootloader остался прежним — заражение начинается с JScript-файла, упакованного в ZIP-архив. При открытии файла запускается PowerShell, который закрепляет вредоносное присутствие в системе. Но именно формат ZIP-архива делает эту кампанию особенно примечательной. Архивы содержат сотни склеенных между собой ZIP-файлов — это возможно благодаря тому, что распаковка начинается с конца файла. Количество таких фрагментов варьируется, и каждый загруженный архив уникален, что исключает возможность обнаружения по хэшу.