El cargador de malware JavaScript (también conocido como JScript) llamado GootLoader Se ha observado el uso de un archivo ZIP con formato incorrecto que está diseñado para eludir los esfuerzos de detección al concatenar entre 500 y 1000 archivos.
«El actor crea un archivo mal formado como técnica antianálisis», afirma el investigador de seguridad de Expel, Aaron Walton. dicho en un informe compartido con The Hacker News. «Es decir, muchas herramientas de desarchivado no pueden extraerlo de manera consistente, pero una herramienta de desarchivado crítica parece funcionar de manera consistente y confiable: la herramienta predeterminada integrada en los sistemas Windows».
Esto conduce a un escenario en el que el archivo no puede ser procesado por herramientas como WinRAR o 7-Zip y, por lo tanto, impide que muchos flujos de trabajo automatizados analicen el contenido del archivo. Al mismo tiempo, puede abrirse mediante el desarchivador predeterminado de Windows, lo que garantiza que las víctimas del esquema de ingeniería social puedan extraer y ejecutar el malware JavaScript.
GootLoader generalmente se distribuye a través de tácticas de envenenamiento de optimización de motores de búsqueda (SEO) o publicidad maliciosa, dirigida a usuarios que buscan plantillas legales para llevarlos a sitios de WordPress comprometidos que albergan archivos ZIP maliciosos. Al igual que otros cargadores, está diseñado para entregar cargas útiles secundarias, incluido ransomware. El malware se ha detectado en estado salvaje desde al menos 2020.
A finales de octubre de 2025, las campañas de malware que propagaban el malware resurgieron con nuevos trucos: aprovechar fuentes WOFF2 personalizadas con sustitución de glifos para ofuscar nombres de archivos y explotar el punto final de comentarios de WordPress («/wp-comments-post.php») para entregar las cargas ZIP cuando un usuario hace clic en el botón «Descargar» en el sitio.
Los últimos hallazgos de Expel destacan la evolución continua de los métodos de entrega, donde los actores de amenazas emplean mecanismos de ofuscación más sofisticados para evadir la detección.
- Concatene entre 500 y 1000 archivos para crear el archivo ZIP malicioso
- Truncar el final del directorio central del archivo (EOCD) registra de manera que omite dos bytes críticos de la estructura esperada, lo que provoca errores de análisis
- Aleatorizar valores en campos no críticos, como número de disco y Número de discos, lo que hace que las herramientas de desarchivado esperen una secuencia de archivos ZIP que no existen.
«El número aleatorio de archivos concatenados y los valores aleatorios en campos específicos son una técnica de evasión de defensa llamada 'hashbusting'», explicó Walton.
«En la práctica, cada usuario que descargue un archivo ZIP de la infraestructura de GootLoader recibirá un archivo ZIP único, por lo que buscar ese hash en otros entornos es inútil. El desarrollador de GootLoader utiliza hashbusting para el archivo ZIP y para el archivo JScript contenido en el archivo».
Básicamente, la cadena de ataque implica la entrega del archivo ZIP como un blob codificado con XOR, que se decodifica y se agrega repetidamente a sí mismo en el lado del cliente (es decir, en el navegador de la víctima) hasta que alcanza un tamaño determinado, evitando efectivamente los controles de seguridad diseñados para detectar la transmisión de un archivo ZIP.
Tan pronto como la víctima haga doble clic en el archivo ZIP descargado, el desarchivador predeterminado de Windows abrirá la carpeta ZIP que contiene la carga útil de JavaScript en el Explorador de archivos. Al iniciar el archivo JavaScript, a su vez, se activa su ejecución a través de «wscript.exe» desde una carpeta temporal, ya que el contenido del archivo no se extrajo explícitamente.
Luego, el malware JavaScript crea un archivo de acceso directo de Windows (LNK) en la carpeta Inicio para establecer la persistencia y, en última instancia, ejecuta un segundo archivo JavaScript usando cscript, generando comandos de PowerShell para llevar la infección a la siguiente etapa. En Ataques anteriores de GootLoaderel script de PowerShell se utiliza para recopilar información del sistema y recibir comandos de un servidor remoto.
Para contrarrestar la amenaza planteada por GootLoader, se recomienda a las organizaciones que consideren bloquear «wscript.exe» y «cscript.exe» para que no ejecuten el contenido descargado si no es necesario y que utilicen un objeto de política de grupo (GPO) para garantizar que los archivos JavaScript se abran en el Bloc de notas de forma predeterminada, en lugar de ejecutarlos a través de «wscript.exe».
Fuente