Der Name GootLoader war schon lange um die hartnäckigsten Malware-Vorfälle: Es ist nicht eine Ransomware von selbst, sondern ein Ladegerät - ein Ladegerät -, die spezialisiert auf die Öffnung der Tür für gefährlichere Bedrohungen. Neuere Untersuchungen haben festgestellt, dass ihre Betreiber ihre Tricks verfeinert haben, um mit ihnen vor regelmäßigen automatischen Detektoren und Analyse-Tools wegzukommen. Anstatt sich nur auf Code ofuscation verlassen, nutzen sie die Besonderheiten des ZIP-Formats und des Windows-Ökosystems, um sicherzustellen, dass das Endopfer die schädliche Belastung ausführen kann, während die Verteidigungssysteme verwirrt sind.
Die auffälligste Technik, die von der Expel Sicherheitsfirma berichtet wird, ist, absichtlich "malformed" ZIP-Dateien zu erstellen. Anstelle einer Standard-ZIP-Datei kontaminieren Angreifer Hunderte - zwischen 500 und 1.000 - von Subarctives und manipulieren zentrale Katalogfelder und andere Metadaten, um Fehler in regelmäßigen Dekompressoren wie 7-Zip oder WinRAR zu verursachen. Jedoch, neugierig, der Windows integrierte Extraktor ist oft in der Lage, diese Dateien zu öffnen. Das Ergebnis ist pervers: Die meisten automatischen Analyse-Tools können das ZIP nicht verarbeiten, aber ein nicht erfundener Benutzer, der es auf einem Windows-Computer doppelklickt, kann auf seinen Inhalt zugreifen und Malware ausführen.
Um zu verstehen, warum dieser Trick funktioniert, müssen Sie sich zwei technische Aspekte ansehen. Zuerst werden die Angreifer entweder den ZIP-Ende des Zentralen Verzeichnisses (EOCD) klopfen oder ändern, ein wesentlicher Abschnitt für Diskompressoren, um zu wissen, wo die Datei endet und wie sie strukturiert ist - Sie können mehr über diesen Datensatz in der ZIP-Formatdokumentation in Wikipedia. Zweitens werden unkritische Felder, wie z.B. Plattenzahlen, manipuliert und zufällige Variationen in Metadaten eingebracht. Diese Variationen verhindern, dass Hash-Signaturen nützlich sind: Jeder Download produziert eine einzigartige Version des ZIP, eine Technik, die Forscher als "Hashbusting" beschreiben.
Darüber hinaus haben GootLoaders Autoren diesen Ansatz mit anderen Schichten der Evasion kombiniert. Ein Teil der ZIP-Datei-Lieferung kann als XOR-codierter Blob kommen, der im Browser des Opfers dekodifiziert und auf eine vorgegebene Größe konzentriert wird, was verhindert, dass Netzwerk-Sicherheitskontrollen eine ZIP-Übertragung direkt erkennen. Neuere Kampagnen haben auch benutzerdefinierte WOFF2-Quellen hinzugefügt, die die Darstellung von Dateinamen ändern, um ihren Zweck zu tarnen, und Mechanismen, die den WordPress-Kommentar Endpoint ("/wp-comments-post.php") missbrauchen, um die Datei zurückzugeben, wenn der Benutzer einen "Download"-Button auf einer kompromittierten Seite drückt.
Die Zahnräder der Infektion sind einfach und effektiv: der Benutzer sucht nach einer rechtlichen Vorlage oder einem Dokument - einer klassischen SEO-Methode Vergiftung und Maldumping - und endet auf einer kompromittierten Website, die ein ZIP bietet. Durch das Öffnen unter Windows durch Standard-Dekompressor erscheint der Inhalt als ZIP-Ordner im Datei-Explorer; wenn der Benutzer eine JavaScript-Datei im ZIP doppelklickt, führt Windows dieses Skript direkt durch wscript. exe aus einem temporären Ordner, ohne dass die Datei explizit auf Festplatte entfernt wird. Von dort stellt der Loader die Beharrlichkeit fest - zum Beispiel durch den direkten Zugriff (LNK) im Startordner - und startet ein zweites Skript mit cscript. exe, dass später PowerShell Befehle zum Herunterladen und Ausführen von zusätzlichen Nutzlasten, wie Informationen robbers oder ransomware aufgerufen.
Diese Arbeitsweise zeigt eine alte, aber gültige Regel: Moderne Bedrohungen kombinieren Social Engineering mit sehr technischen Details. Eine einzigartige neugierige Funktion der Angriffskette - unter Ausnutzung der Vorteile, dass der Windows-Extraktor öffnet ein ZIP, dass andere Tools nicht können - macht viele automatisierte Analysemaßnahmen durch. Deshalb sollten Sicherheitsteams darüber nachdenken, wie die Dateien geliefert werden und was passiert, wenn ein Benutzer mit ihnen im Endpunkt interagiert.
Welche praktischen Maßnahmen können dazu beitragen, das Risiko zu reduzieren? Von der Unternehmensseite werden Kontrollen empfohlen, um die automatische Ausführung von Skripten zu begrenzen: blockieren oder die Ausführung von wscript einschränken. exe und cscript. exe, wenn sie für legitime Operationen nicht erforderlich sind, und wendet Politiken an, die die Art und Weise ändern, wie das System Erweiterungen behandelt, die in einem Texteditor geöffnet werden sollen, anstatt auszuführen. Microsoft Dokumente Dateizuordnung Konfigurationsoptionen und Systemrichtlinien, die zu verwalten, wie bestimmte Typen von zentralisierten Richtlinien geöffnet werden ( Microsoft-Dokumentation über vorgegebene Partnerschaften), und Tools wie AppLocker oder Windows Defender Application Control können verwendet werden, um nicht autorisierte Ausführung von Skripten Dolmetscher ( AppLocker Anleitung)
Auch sollte die Oberfläche, die die Lieferung erleichtert, vernachlässigt werden: viele dieser Kampagnen hängen von engagierten WordPress-Seiten oder SEO-manipulierten Seiten ab. Halten Sie CMS und Plugins auf dem neuesten Stand, überprüfen Sie die Eingabepunkte von Formularen und Kommentare, und überwachen Sie verdächtige Umleitungen und externe Ressourcen sind Maßnahmen, die die Wahrscheinlichkeit eines Opfers, das das bösartige ZIP erreicht, reduzieren. Auf der Netzwerkebene können Kontrollen, die ungewöhnliche Transfers oder Kodierungsmuster inspizieren und der Schutz von Endpunkten mit Verhaltensfunktionen, die nicht allein von Signaturen abhängen, schädliches Verhalten erkennen, wenn ein Skript versucht, Befehle auszuführen oder im System zu bestehen.
Die Geschichte von GootLoader ist auch eine Lektion darüber, warum die Sicherheit nicht nur auf Hasen oder statischen Regeln basieren kann: Die Kombination von einzigartigen Dateien durch fehlerhaftes Herunterladen und Verpackung macht die Suche nach einer bekannten Hash unwirksam. Die Erkennung muss daher dynamische Analyse, Herkunftsreputation und Endpunktkontrollen beinhalten, die die automatische Ausführung potenziell gefährlicher Inhalte verhindern. Expel, der die detaillierte Analyse veröffentlichte, bietet mehr technischen Kontext darüber, wie diese formierten ZIP gebaut werden und warum sie für viele Unarchivierer problematisch sind ( Ex-Bericht)
Endlich ist Verteidigung eine Mischung aus guter digitaler Hygiene, strenger Umgebungskonfiguration und Benutzerschulung: Lehren, um Downloads von nicht überprüften Ergebnissen zu misstrauen, die Legitimität von Websites zu überprüfen, die Rechtsvorlagen anbieten und, in Unternehmensumgebungen, Umsetzung von Richtlinien, die die stille Ausführung von Skripten verhindern. Die Angreifer werden weiterhin technische und menschliche Fissuren suchen; die Reaktion muss sowohl technisch als auch menschlich sein, Schutz im Netzwerk und Endpunkt mit Schulungen und Verfahren kombinieren, die die Wahrscheinlichkeit einer gefährlichen Interaktion minimieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...