ai-benchmark/tests/summarization/xakep.ru_2026_01_19_gootloader-zip.txt

Рекомендуем почитать: Хакер #319. Атаки на банкоматы Содержание выпуска Подписка на «Хакер»-60% Операторы вредоноса Gootloader усложнили его обнаружение: теперь малварь прячется в поврежденном ZIP-архиве, «склеенном» из тысячи других архивов. Использование такой тактики вызывает сбои в большинстве аналитических инструментов при попытке распаковки. Как выяснили исследователи из компании Expel, вредоносный файл представляет собой архивированный JScript, упакованный в специально испорченный ZIP. Штатный архиватор Windows распаковывает его без проблем, а вот инструменты на базе 7-Zip и WinRAR не справляются с задачей. Злоумышленники добились такого эффекта, «склеивая» от 500 до 1000 ZIP-архивов, а также используя ряд других трюков, чтобы усложнить парсинг и анализ. Gootloader — загрузчик, который активен с 2020 года и используется разными хак-группами, включая операторов шифровальщиков. В ноябре 2025 года после малварь возобновила активность после семимесячного перерыва, о чем предупреждали специалисты Huntress Labs и DFIR Report. Уже тогда в образцах были замечены «битые» ZIP-архивы, но модификации были минимальными, а при распаковке возникали несоответствия имен файлов. По данным специалистов Expel, более свежие образцы Gootloader используют целый арсенал техник уклонения от обнаружения: объединение до 1000 архивов ZIP — парсеры читают файл с конца, и эта особенность позволяет обмануть часть инструментов; усеченная структура End of Central Directory (EOCD), в которой не хватает двух обязательных байтов, из-за чего большинство инструментов не могут распарсить архив и завершают работу со сбоем; рандомизация полей с номерами дисков приводит к поиску несуществующих многотомных архивов; намеренные несоответствия между метаданными в Local File Header и Central Directory; генерацию уникальных ZIP и JScript для каждой загрузки, чтобы избежать сигнатурного обнаружения; доставку ZIP в виде XOR-закодированного блоба, который декодируется на стороне клиента и многократно дописывается, пока не достигнет нужного размера. После запуска на хосте JScript активируется через Windows Script Host (WScript) из временной директории и прописывается в автозагрузку: в папке Startup появляются LNK-файлы, указывающие на второй JScript. Пейлоад срабатывает при первом запуске и при каждой перезагрузке, сначала запуская CScript с NTFS-именами, а потом PowerShell порождает PowerShell. Специалисты Expel использовали те же структурные аномалии для обнаружения малвари и опубликовали YARA-правило, которое стабильно обнаруживает ZIP-архивы вредоноса. Сигнатура ищет специфическую комбинацию заголовков ZIP, сотни повторяющихся Local File Header и записей EOCD. Также исследователи рекомендуют защитникам сменить приложение по умолчанию для открытия JScript-файлов с Windows Script Host на «Блокнот» — так скрипты не будут выполняться автоматически. Если JScript не нужен в инфраструктуре, специалисты советуют вообще заблокировать запуск wscript.exe и cscript.exe для загруженного контента. Теги:GootloaderMalwarezipАрхивВзломКибератакиНовости Подпишись на наc в Telegram! Только важные новости и лучшие статьи Подписаться Открыть комментарии Подписаться авторизуйтесь Уведомить о новых последующих комментариях новых ответах на мои комментарии Пожалуйста, войдите, чтобы прокомментировать 0 комментариев Старые Новые Популярные Межтекстовые Отзывы Посмотреть все комментарии Загрузить ещё комментарии
==============
В статье рассматривается новая вредоносная программа, основанная на модифицированных ZIP-архивах, использующих Gootloader для усложнения обнаружения. Злоумышленники используют множество техник, включая объединение тысяч ZIP-архивов, усечение структуры EOCD, рандомизацию дисков и генерацию уникальных ZIP-файлов, чтобы избежать обнаружения. Для защиты рекомендуется использовать YARA-правило для обнаружения вредоносных архивов и ограничить автоматическое выполнение скриптов, а также заблокировать запуск wscript.exe и cscript.exe.