Faz tempo que o nome GootLoader ronda os incidentes de malware mais persistentes: não é um ransomware por si mesmo, mas um carregador – um loader – que se especializa em abrir a porta para ameaças mais perigosas. Nas últimas investigações, observou-se que os seus operadores refinaram os seus truques para sairem com a sua frente a detectores automáticos e ferramentas de análise habituais. Em vez de confiar apenas em ofuscação de código, estão explorando as peculiaridades do formato ZIP e do ecossistema Windows para garantir que a vítima final possa executar a carga maliciosa, enquanto os sistemas de defesa ficam confusos.
A técnica mais chamativa relatada pela assinatura de segurança Expel consiste em criar arquivos ZIP intencionalmente “malformados”. Em vez de um arquivo ZIP padrão, os atacantes concatenan centenas – entre 500 e 1.000 – de subarchivos e manipulam campos do catálogo central e outros metadados para provocar erros em descompressores habituais como 7-Zip ou WinRAR. No entanto, curiosamente, o extrator integrado no Windows costuma ser capaz de abrir esses arquivos. O resultado é perverso: a maioria das ferramentas de análise automática não pode processar o ZIP, mas um usuário desprevenido que clique duplo nele em um computador Windows pode acessar seu conteúdo e executar malware.
Para entender por que esse truque funciona há que olhar dois aspectos técnicos. Primeiro, os atacantes troncarão ou alterarão o registo conhecido como End of Central Directory (EOCD) do ZIP, uma seção essencial para que os descompressores saibam onde termina e como está estruturado o arquivo - você pode ler mais sobre esse registro na documentação do formato ZIP Wikipédia. Segundo, campos não críticos são manipulados, como números de disco, e são introduzidas variações aleatórias em metadados. Essas variações impedem que as assinaturas de arquivos (hashes) sejam úteis: cada download produz uma versão única do ZIP, uma técnica que os pesquisadores descrevem como "hashbusting".
Além disso, os autores de GootLoader combinaram essa abordagem com outras camadas de evasão. Parte da entrega do arquivo ZIP pode vir como um blob codificado por XOR que, no navegador da vítima, é descodificado e vai se adequando até atingir um tamanho predefinido; assim, evita-se que os controles de segurança de rede detectem diretamente uma transmissão de um ZIP. Em campanhas recentes, também foram adicionadas fontes WOFF2 personalizadas que alteram a representação de nomes de arquivo para camuflar seu propósito, e mecanismos que abusam do endpoint de comentários do WordPress ("/wp-comments-post.php") para devolver o arquivo quando o usuário carrega um botão de "Descargar" numa página comprometida.
A engrenagem da infecção é simples e eficaz: o usuário busca um modelo legal ou um documento –metodo clássico de SEO poisoning e malvertising – e acaba em uma web comprometida que oferece um ZIP. Ao abri- lo no Windows através do descompressor predefinido, o conteúdo aparece como uma pasta ZIP no Navegador de Ficheiros; se o utilizador fizer duplo- click num ficheiro de JavaScript no ZIP, o Windows executa esse programa através do wscript.exe diretamente de uma pasta temporária, sem que o ficheiro tenha sido extraído explicitamente para o disco. A partir daí, o loader estabelece persistência — por exemplo, criando acessos diretos (LNK) na pasta de início — e lança um segundo programa através do cscript.exe que, posteriormente, invoca comandos do PowerShell para baixar e executar cargas úteis adicionais, como ladrões de informação ou ransomware.
Este modo de funcionamento sublinha uma regra antiga, mas válida: as ameaças modernas combinam engenharia social com detalhes muito técnicos. Uma única característica curiosa da cadeia de ataque – aproveitar que o extrator do Windows abre um ZIP que outras ferramentas não podem – faz com que muitas medidas automatizadas de análise passem de longo prazo. É por isso que as equipes de segurança devem pensar tanto em como se entregam os arquivos quanto em que ocorre quando um usuário interage com eles no endpoint.
Que medidas práticas podem ajudar a reduzir o risco? Do lado corporativo são recomendados controlos para limitar a execução automática de programas: bloquear ou restringir a execução do wscript.exe e do cscript.exe se não forem necessários para operações legítimas, e aplicar políticas que alterem a forma como o sistema trata as extensões .js para que se abra num editor de texto em vez de executar. A Microsoft documenta opções de configuração de associações de arquivos e políticas de sistema que permitem gerenciar como se abrem tipos concretos mediante diretrizes centralizadas ( Documentação da Microsoft sobre associações predefinidas) e ferramentas como AppLocker ou Windows Defender Application Control podem ser usadas para impedir a execução não autorizada de intérpretes de scripts ( guia AppLocker).
Também não há que negligenciar a superfície que facilita a entrega: muitas dessas campanhas dependem de sites WordPress comprometidos ou de páginas manipuladas por SEO. Manter CMS e plugins atualizados, rever os pontos de entrada de formulários e comentários, e monitorar redireções e recursos externos suspeitos são medidas que reduzem a probabilidade de uma vítima chegar ao ZIP malicioso. A nível de rede, os controlos que inspeccionem transferências invulgares ou padrões de codificação e a proteção de endpoints com capacidades de comportamento que não dependem apenas de assinaturas podem detectar o comportamento maliciosa quando um programa tenta executar comandos ou persistir no sistema.
A história de GootLoader também é uma lição sobre porque a segurança não pode ser apoiada apenas em hashes ou em regras estáticas: a combinação de arquivos únicos por download e empacotamento malformado faz com que a busca de um hash conhecido seja ineficaz. Por isso a detecção deve incorporar análises dinâmicas, reputação da origem e controles no endpoint que evitem a execução automática de conteúdo potencialmente perigoso. Expel, que publicou a análise detalhada, oferece mais contexto técnico sobre como se constroem esses ZIP malformados e por que são problemáticos para muitos unrchivers ( Relatório de Expel).
No final, a defesa é uma mistura de boa higiene digital, configuração rigorosa do ambiente e formação a usuários: ensinar a desconfiar de downloads de resultados não verificados, verificar a legitimidade dos sites que oferecem modelos legais e, em ambientes corporativos, aplicar políticas que impeçam a execução silenciosa de scripts. Os atacantes continuarão a procurar fissuras técnicas e humanas; a resposta deve ser tão técnica como humana, combinando protecções na rede e no endpoint com capacitação e procedimentos que minimizem a probabilidade de interação perigosa.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...