O mundo da cibersegurança é um jogo constante de gato e rato, e os criadores de ameaças digitais estão sempre à procura de formas inovadoras de contornar as defesas. O Gootloader, um malware conhecido por facilitar o acesso inicial a sistemas comprometidos, regressou com uma tática peculiar: a utilização de arquivos ZIP propositadamente malformados que conseguem crashar ferramentas de análise populares, enquanto passam despercebidos pelo sistema operativo da Microsoft.
Uma armadilha para analistas de segurança
O Gootloader, que se mantém ativo desde 2020 e é frequentemente utilizado como porta de entrada para ataques de ransomware, esteve ausente durante cerca de sete meses. No entanto, o seu regresso em novembro trouxe novas dores de cabeça para os investigadores. Segundo a análise detalhada da Expel, os operadores deste software malicioso implementaram mecanismos de ofuscação complexos.
A estratégia central envolve a concatenação (junção) de entre 500 a 1.000 arquivos ZIP num único ficheiro. O objetivo é explorar a forma como diferentes programas leem estes dados. Ferramentas amplamente utilizadas para análise e extração, como o 7-Zip e o WinRAR, tendem a falhar ou encerrar inesperadamente ao tentar processar estes ficheiros "monstruosos".
Curiosamente, o utilitário de compressão padrão do Windows consegue lidar com este ficheiro sem problemas, extraindo o conteúdo malicioso — um ficheiro JScript — com sucesso. Isto significa que, enquanto as ferramentas de segurança tropeçam na análise, a vítima consegue abrir o ficheiro e infetar a máquina sem se aperceber.
Técnicas avançadas de evasão
Para além de empilhar centenas de arquivos ZIP, os criadores do Gootloader utilizam outros truques técnicos para dificultar a vida aos defensores. Entre as técnicas identificadas, destaca-se o uso de um final de diretório central (EOCD) truncado, onde faltam bytes obrigatórios, o que quebra o processo de leitura da maioria das ferramentas.
Adicionalmente, o malware utiliza campos de número de disco aleatórios, levando os programas de análise a procurar volumes de arquivo que não existem, e insere discrepâncias de metadados entre os cabeçalhos locais e as entradas do diretório central. Para evitar a deteção por assinatura estática, cada download gera uma amostra única do ZIP e do JScript.
O perigo escondido no arranque
Uma vez executado no sistema da vítima, o script malicioso utiliza o Windows Script Host (WScript) a partir de uma diretoria temporária para iniciar a cadeia de infeção. A persistência é garantida através da criação de atalhos (.LNK) na pasta de Arranque do sistema, que apontam para um segundo ficheiro JScript.
Sempre que o computador é ligado, esta carga é executada, acionando o CScript e, posteriormente, o PowerShell para dar continuidade às operações maliciosas.
Para mitigar este risco, os especialistas recomendam uma medida simples mas eficaz para os utilizadores e administradores de sistemas: alterar a aplicação predefinida para abrir ficheiros .js (JScript) para o Bloco de Notas (Notepad) em vez do Windows Script Host. Desta forma, se um utilizador tentar abrir um ficheiro malicioso por engano, verá apenas o código de texto em vez de o executar. Outra recomendação passa por bloquear a execução do wscript.exe e cscript.exe se estes não forem necessários para o funcionamento diário da máquina.
Nenhum comentário
Seja o primeiro!