O malware GootLoader, conhecido por suas atividades maliciosas, ressurgiu após um período de relativa inatividade. Pesquisadores da empresa de cibersegurança Huntress detectaram novas campanhas a partir de 27 de outubro, revelando técnicas de invasão e ocultação aprimoradas. Em dois dos ataques analisados, os invasores obtiveram controle do teclado e comprometeram o controlador de domínio em até 17 horas após a infecção inicial.
De acordo com a pesquisadora de segurança Anna Pham, o GootLoader explora as seções de comentários de sites WordPress para distribuir arquivos maliciosos criptografados com XOR. Cada arquivo utiliza uma chave de criptografia única e emprega ofuscação por meio da substituição de glifos em fontes WOFF2. Essa técnica sofisticada engana os usuários, fazendo-os acreditar que estão copiando um arquivo legítimo, enquanto o malware permanece oculto através de truques tipográficos e JavaScript.
O GootLoader é associado ao grupo de ameaças Hive0127 (UNC2565), conhecido por utilizar envenenamento de SEO para disseminar um loader baseado em JavaScript que carrega outros malwares, incluindo ransomware. O grupo hacker Vanilla Tempest já utilizou o GootLoader para distribuir a backdoor Supper e o software de acesso remoto AnyDesk.
Uma das inovações recentes do GootLoader é o uso de fontes web personalizadas para disfarçar os nomes dos arquivos maliciosos. Quando um usuário copia o nome do arquivo ou inspeciona o código-fonte, visualiza uma sequência de caracteres aleatórios. No entanto, ao colar o texto em um navegador, ele se transforma magicamente em um nome de arquivo legível, como ‘Guia_do_comite_de_reunioes_da_florida.pdf’. Isso é possível graças a um arquivo de fonte WOFF2 incorporado ao código JavaScript da página por meio da codificação Z85, uma variante do Base85 que compacta a fonte de 32KB em um arquivo de 40KB.
Outra tática utilizada é a modificação do arquivo ZIP. Ao ser aberto por ferramentas como VirusTotal, utilitários ZIP do Python ou 7-Zip, o arquivo extraído é um arquivo .TXT aparentemente inofensivo. No entanto, ao ser executado no computador da vítima, o arquivo busca um JavaScript que carrega o agente malicioso.
O malware Supper, distribuído por meio do GootLoader, é capaz de usar o Gerenciamento Remoto do Windows (WinRM) para se mover lateralmente até o controlador de domínio e criar um novo usuário com privilégios de administrador. A ameaça ressalta a importância da cautela ao baixar arquivos de fontes não oficiais e extrair arquivos desconhecidos.