WinRAR no lo abrirá, pero el virus sí: autores de Gootloader encuentran una brecha insólita en sistemas de seguridad

Tras un prolongado silencio, el cargador malicioso Gootloader volvió a estar en el centro de atención. La campaña renovada, en noviembre del año pasado, fue registrada por el equipo de Huntress, que señaló el regreso del desarrollador, anteriormente vinculado al grupo Vanilla Tempest. Esa organización utilizaba en ese momento el ransomware Rhysida.

El análisis de las nuevas muestras de Gootloader mostró que el autor volvió a su papel anterior: proporcionar el acceso inicial, pero apostó por técnicas de ofuscación mejoradas. El regreso de la herramienta maliciosa se acompañó de una táctica actualizada que dificulta su detección.

La característica principal del nuevo enfoque es el uso de un archivo ZIP inusual que, a primera vista, parece dañado. Sin embargo, esta técnica permite a los atacantes eludir el análisis automático y ocultarse de las soluciones antivirus, conservando al mismo tiempo la capacidad de ejecución en los sistemas de las víctimas.

El mecanismo de propagación de Gootloader se mantiene: la infección comienza con un archivo JScript empaquetado en un ZIP. Al abrir el archivo se ejecuta PowerShell, que consolida la presencia maliciosa en el sistema. Pero es el formato del ZIP lo que hace que esta campaña sea especialmente notable. Los archivos contienen cientos de archivos ZIP concatenados entre sí: esto es posible porque la extracción comienza desde el final del archivo. La cantidad de esos fragmentos varía y cada archivo descargado es único, lo que impide la detección mediante hash.

El archivo también viola la especificación ZIP: en su estructura faltan bytes obligatorios al final del directorio, y algunos campos, como el número de disco o la hora de modificación, se rellenan con valores aleatorios. Esto impide el funcionamiento correcto de herramientas como 7-Zip o WinRAR, pero no afecta al descompresor integrado de Windows. De ese modo, el archivo malicioso sigue disponible para que el usuario lo ejecute, pero resulta inaccesible para la mayoría de los sistemas de análisis automático.

La metodología empleada por el desarrollador de Gootloader está orientada al sigilo. Gracias al ZIP «falso» y al contenido único en cada ocasión, el código malicioso es difícil de rastrear con medios estándar. Incluso el archivo JScript está enmascarado como inocuo: contiene miles de líneas de código no peligroso entre las que se ocultan instrucciones maliciosas.

La ejecución ocurre directamente desde la carpeta temporal de Windows, ya que el archivo no se extrae manualmente por el usuario. Esto crea oportunidades de detección: por ejemplo, se puede rastrear la ejecución de "wscript.exe" desde el directorio AppData\Local\Temp. Otro indicio es la aparición de archivos .LNK en la carpeta de inicio que apuntan a scripts en ubicaciones no habituales.

También conviene prestar atención al método de ejecución de la segunda etapa de la infección. El malware utiliza el antiguo formato de nombres cortos en NTFS, algo poco frecuente en sistemas modernos y que puede servir como indicador adicional. Además, al ejecutarse se observa una cadena de procesos: de CScript a PowerShell y luego en adelante, lo que también puede emplearse para su detección.

Para protegerse, se puede cambiar el comportamiento predeterminado del sistema y abrir los archivos JScript no con WScript, sino con un editor de texto. Esto reducirá el riesgo de ejecución accidental del código malicioso. Si no es necesario usar JScript, también se recomienda limitar o bloquear por completo la ejecución de WScript y CScript.

A pesar de la complejidad técnica del archivo ZIP, los especialistas enfatizan que es en esta etapa donde la defensa tiene la oportunidad de interrumpir la cadena de infección antes de que el malware obtenga acceso al sistema. Ese enfoque permite bloquear de antemano las acciones maliciosas de Gootloader, antes de la activación de componentes más destructivos vinculados con programas de ransomware.