La campaña Gootloader ha resurgido con una nueva técnica de evasión sofisticada: la manipulación de archivos ZIP para que extraiga malware (archivo .JS) solo cuando se abre con el Explorador de Windows, mientras que aparecen como inofensivos (archivo .TXT) ante las herramientas de análisis automático (sandboxes, VirusTotal, 7-Zip, Python).
Gootloader: Evasión por Inconsistencia de ZIP (SEO Poisoning)
El ataque explota la diferencia entre el comportamiento nativo de descompresión de Windows y las utilidades de terceros, apuntando a la confianza del usuario y la automatización de los sistemas de seguridad.
Mecanismo de Evasión Paso a Paso
- Atracción y SEO Poisoning: Los operadores inyectan millas de palabras clave (ej., “contrato”, “formulario”, “agreement”) en más de 100 sitios comprometidos para posicionar resultados falsos en los motores de búsqueda, atrayendo a víctimas que buscan documentos legales.
- Descarga del ZIP manipulado: La víctima encuentra un resultado que parece legítimo y descarga un archivo ZIP.
- Evasión Basada en Formato: El ZIP está construido intencionalmente para que:
- Explorador de Windows (Nativo): Extraiga la carga útil real (archivo .JS) que es ejecutable.
- Análisis Automático (7-Zip, Python, Sandboxes): Obtengan un archivo.TXT inocuo, lo que permite que al malware pase por la inspección automática.
- Persistencia en Capas: Si el usuario ejecuta el .JS, el dropper instala el payload y establece persistencia mediante una cadena de accesos directos (.LNK) encadenados (uno en Startupque apunta a otro en AppData), reemplazando las tareas programadas tradicionales.
Consecuencias Críticas
- Blindaje de Sandboxes: La evasión basada en formatos obliga a redefinir cómo se ejecutan los análisis automatizados, ya que la mayoría confía en herramientas de descompresión no nativas.
- Vector de Confianza: El ataque no explota vulnerabilidades técnicas, sino la confianza humana y la búsqueda orgánica (SEO), haciendo resistente al bloqueo puramente técnico.
- Postura de Bajo Ruido: El uso de .LNK encadenados para la persistencia facilita que el malware sobreviva a limpiezas superficiales y mantenga un perfil de bajo ruido operativo.
Recomendaciones
- Contención y Detección
- Reglas EDR/SIEM: Añadir reglas para detectar:
- Creación/ejecución de archivos .LNK en la carpetaStartup o AppData.
- Invocaciones de wscript/cscript (JScript) desde directorios de usuario sin historial de aprobación.
- Bloqueo de IoC: Bloquear dominios y URLs maliciosas conocidas provenientes de las investigaciones de SEO envenenamiento.
- Escaneos Forzados: Forzar escaneos EDR en endpoints que hayan descargado archivos ZIP en los últimos 7–14 días.
- Prevención de Ejecución Accidental
- Bloqueo de Scripts: Configurar políticas de bloqueo de ejecución de scripts (.JS, .VBS) desde directorios de usuario mediante AppLocker/WDAC o GPO.
- Inspección Profunda de ZIP: Habilitar la inspección profunda de archivos ZIP en el proxy o la puerta de correo: usar un agente que imita el comportamiento de descompresión nativo del Explorador de Windows para detectar la carga útil real, o forzar análisis en sandboxes que lo reproduzcan.
- Deshabilitar Auto-Ejecución: Deshabilitar la ejecución automática de archivos descargados.
- Formación y Procesos
- Concientización: Entrenar a los usuarios sobre el riesgo de descargar “formularios/contratos” desde resultados de búsqueda no oficiales y la necesidad de validar siempre la fuente (especialmente si es un ZIP que contiene un .JS).
- Verificación de Descargas: Enseñar a los equipos a no ejecutar archivos .JS o instaladores desde descargas sin verificar su firma, hash o fuente oficial.
