De JavaScript-malwarelader (ook wel JScript genoemd) wordt aangeroepen GootLoader Er is waargenomen dat er gebruik werd gemaakt van een verkeerd opgemaakt ZIP-archief dat is ontworpen om detectie-inspanningen te omzeilen door tussen de 500 en 1.000 archieven samen te voegen.
“De acteur creëert een misvormd archief als een anti-analysetechniek”, zei Expel-beveiligingsonderzoeker Aaron Walton in een rapport gedeeld met The Hacker News. “Dat wil zeggen dat veel tools voor het uitpakken van het archief het niet consistent kunnen extraheren, maar één cruciaal hulpmiddel voor het uitpakken van het archief lijkt consistent en betrouwbaar te werken: het standaardhulpprogramma dat in Windows-systemen is ingebouwd.”
Dit leidt tot een scenario waarin het archief niet kan worden verwerkt door tools als WinRAR of 7-Zip, en verhindert daarom dat veel geautomatiseerde workflows de inhoud van het bestand analyseren. Tegelijkertijd kan het worden geopend door de standaard Windows-unarchiver, waardoor wordt gegarandeerd dat slachtoffers die het slachtoffer worden van het social engineering-schema de JavaScript-malware kunnen extraheren en uitvoeren.
GootLoader wordt doorgaans verspreid via zoekmachineoptimalisatie (SEO)-vergiftigingstactieken of malvertising, gericht op gebruikers die op zoek zijn naar juridische sjablonen om hen naar gecompromitteerde WordPress-sites te leiden die kwaadaardige ZIP-archieven hosten. Net als andere laders is het ontworpen om secundaire ladingen te leveren, waaronder ransomware. De malware wordt in ieder geval sinds 2020 in het wild gedetecteerd.
Eind oktober 2025 doken malwarecampagnes die de malware verspreidden weer op met nieuwe trucs: het gebruik van aangepaste WOFF2-lettertypen met glyph-vervanging om bestandsnamen te verdoezelen en het exploiteren van het WordPress-commentaareindpunt (“/wp-comments-post.php”) om de ZIP-payloads te leveren wanneer een gebruiker op een “Download” -knop op de site klikt.
De nieuwste bevindingen van Expel benadrukken de voortdurende evolutie van de leveringsmethoden, waarbij de dreigingsactoren meer geavanceerde verduisteringsmechanismen gebruiken om detectie te omzeilen –
- Voeg 500 tot 1.000 archieven samen om het kwaadaardige ZIP-bestand te maken
- Kap het einde van de centrale map (EOCD)-record van het archief af, zodat het twee kritieke bytes van de verwachte structuur mist, wat parseerfouten veroorzaakt
- Randomiseer waarden in niet-kritieke velden, zoals schijfnummer en Aantal schijven, waardoor tools voor het dearchiveren een reeks ZIP-archieven verwachten die niet bestaan
“Het willekeurige aantal aaneengeschakelde bestanden en de willekeurige waarden in specifieke velden zijn een techniek om verdediging te ontwijken die ‘hashbusting’ wordt genoemd”, legt Walton uit.
“In de praktijk ontvangt elke gebruiker die een ZIP-bestand downloadt van de infrastructuur van GootLoader een uniek ZIP-bestand, dus het zoeken naar die hash in andere omgevingen is zinloos. De GootLoader-ontwikkelaar gebruikt hashbusting voor het ZIP-archief en voor het JScript-bestand in het archief.”
De aanvalsketen omvat in wezen de levering van het ZIP-archief als een XOR-gecodeerde blob, die wordt gedecodeerd en herhaaldelijk aan zichzelf wordt toegevoegd aan de clientzijde (dat wil zeggen in de browser van het slachtoffer) totdat deze een bepaalde grootte heeft bereikt, waardoor effectief beveiligingscontroles worden omzeild die zijn ontworpen om de verzending van een ZIP-bestand te detecteren.
Zodra het slachtoffer op het gedownloade ZIP-archief dubbelklikt, zal de standaard unarchiver van Windows de ZIP-map met de JavaScript-payload in Verkenner openen. Het starten van het JavaScript-bestand activeert op zijn beurt de uitvoering ervan via “wscript.exe” vanuit een tijdelijke map, aangezien de bestandsinhoud niet expliciet werd geëxtraheerd.
De JavaScript-malware maakt vervolgens een Windows-snelkoppelingsbestand (LNK) aan in de map Opstarten om persistentie tot stand te brengen, en voert uiteindelijk een tweede JavaScript-bestand uit met behulp van cscript, waarbij PowerShell-opdrachten worden gegenereerd om de infectie naar de volgende fase te brengen. Bij eerdere GootLoader-aanvallen werd het PowerShell-script gebruikt om systeeminformatie te verzamelen en opdrachten te ontvangen van een externe server.
Om de dreiging van GootLoader tegen te gaan, wordt organisaties geadviseerd om te overwegen om “wscript.exe” en “cscript.exe” te blokkeren voor het uitvoeren van gedownloade inhoud als dit niet nodig is, en om een Group Policy Object (GPO) te gebruiken om ervoor te zorgen dat JavaScript-bestanden standaard in Kladblok worden geopend, in plaats van ze uit te voeren via “wscript.exe”.
