De retour fin 2025, Gootloader change de tactique. Le malware s’appuie désormais sur une archive ZIP volontairement malformée pour faire trébucher les outils d’analyse, sans jamais empêcher l’exécution du script malveillant qu’elle transporte.
Actif depuis 2020, Gootloader se contente d’un rôle précis dans l’économie du ransomware, celui de l’intrusion initiale. Une fois le système compromis, l’accès est cédé à d’autres acteurs plus visibles, souvent spécialisés dans le chiffrement et l’extorsion. Après plusieurs mois d’absence, le loader est réapparu fin 2025 avec une approche affinée. Cette fois, ce n’est pas seulement le script malveillant qui pose problème, mais le fichier ZIP qui le transporte. Une archive volontairement cassée, difficile à disséquer pour les outils de sécurité, mais qui continue de s’ouvrir sans encombre chez la cible visée.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une archive ZIP conçue pour résister à l’analyse
Dans le détail, le fichier distribué par Gootloader contient un unique script JScript, chargé d’amorcer l’infection. Pourtant, l’archive qui l’héberge affiche une taille disproportionnée, parfois supérieure à 70 Mo, pour un contenu réel de quelques centaines de kilo-octets. Pour produire cet effet, les opérateurs génèrent un ZIP énorme en y collant entre 500 et 1 000 archives les unes à la suite des autres.
Pour celles et ceux qui l’ignoraient jusqu’à présent, lorsqu’un outil de décompression ouvre un ZIP, il commence généralement par lire l’End of Central Directory, l’enregistrement placé à la toute fin du fichier, qui indique où se trouve le Central Directory, un index listant les éléments à extraire et l’emplacement de leurs données. Dans le cas de Gootloader, la dernière archive concaténée contient bien un couple End of Central Directory et Central Directory exploitable, ce qui suffit à permettre l’extraction du script, même si le fichier embarque, avant cette dernière section, des centaines de couches inutiles.
Là où la manœuvre devient intéressante, c’est que de nombreux logiciels de désarchivage tiers et solutions de sécurité ne se contentent pas de cette lecture minimale. Ils tentent de reconstruire une structure cohérente, vérifient davantage de champs et recoupent les en-têtes et les répertoires à partir de cet End of Central Directory, que les opérateurs altèrent volontairement, notamment en le tronquant, afin de compliquer l’analyse automatique. Selon les cas, des programmes comme 7-Zip ou WinRAR peuvent se casser les dents sur une archive jugée corrompue, alors même que l’outil de décompression intégré à Windows parvient, lui, à l’ouvrir de façon fiable et à en extraire le script.
Une fois exécuté, le script malveillant prend en charge la suite de l’infection. Il crée des raccourcis dans le dossier de démarrage de l’utilisateur afin d’assurer sa persistance, dépose un second script dans un répertoire choisi de manière aléatoire, puis s’appuie sur Windows Script Host pour l’exécuter à chaque ouverture de session. Cette chaîne conduit rapidement au lancement de PowerShell, chargé de récupérer et d’exécuter les composants suivants, ouvrant la voie à une compromission plus large du système.
Ce qu’il faut bloquer, ce qu’il faut surveiller
Le point fort de cette archive, c’est qu’elle change à chaque téléchargement, le nombre d’archives concaténées variant en plus de façon aléatoire, ce qui rend les signatures statiques peu utiles. En revanche, sa construction laisse des marqueurs. Les chercheurs expliquent s’appuyer sur une combinaison de motifs d’en-têtes ZIP, sur la répétition anormale de Local File Headers à grande échelle, et sur des anomalies autour des enregistrements de fin d’archive pour identifier ces fichiers. D’où l’intérêt d’appliquer une règle YARA (un motif de détection qui repère une famille de fichiers ou de comportements à partir de caractéristiques techniques et non d’une empreinte unique), qui peut aider à identifier les archives utilisées par Gootloader.
Côté réduction du risque, l’idée est moins de « mieux dézipper » que d’éviter l’exécution du script. Associez par défaut les fichiers .js et .jse à un éditeur de texte afin d’empêcher leur exécution au double-clic, et si JScript n’est pas utilisé, bloquez wscript.exe et cscript.exe pour l’exécution de fichiers téléchargés, de manière à stopper l’infection au moment où le script est lancé, même si l’archive est ouverte.
Source : Expel
