top of page

Malware usa hashbusting com 1.000 ZIPs para enganar antivírus

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 18 de jan.
  • 2 min de leitura

Pesquisadores identificaram uma nova técnica de evasão adotada pelo GootLoader, um loader de malware em JavaScript (JScript), que passou a utilizar arquivos ZIP malformados compostos pela concatenação de 500 a 1.000 arquivos ZIP. A estratégia tem como objetivo dificultar a análise automática e contornar mecanismos de detecção utilizados por soluções de segurança.


De acordo com pesquisadores da Expel, os hackers criam intencionalmente arquivos ZIP corrompidos como técnica de anti-análise. A maioria das ferramentas populares de descompactação, como WinRAR e 7-Zip, falha ao processar esse tipo de arquivo. No entanto, o descompactador padrão do Windows consegue abrir o conteúdo normalmente, o que aumenta a chance de sucesso do ataque contra usuários finais.


Na prática, isso bloqueia fluxos automatizados de análise de malware, enquanto permite que a vítima extraia e execute o código malicioso sem perceber. O GootLoader é comumente distribuído por meio de técnicas de SEO poisoning e malvertising, direcionando usuários que buscam modelos de documentos legais para sites WordPress comprometidos, que hospedam os arquivos ZIP maliciosos.


Ativo desde pelo menos 2020, o GootLoader é conhecido por atuar como um estágio inicial de infecção, sendo utilizado para entregar cargas secundárias, incluindo ransomware. Em campanhas mais recentes, observadas no final de 2025, os hackers introduziram novos mecanismos de ofuscação, como o uso de fontes WOFF2 com substituição de glyphs para mascarar nomes de arquivos e a exploração do endpoint de comentários do WordPress (/wp-comments-post.php) para entregar os ZIPs maliciosos quando o usuário clica em botões de “Download”.


Principais técnicas de evasão observadas

  • Concatenação de 500 a 1.000 arquivos ZIP para criar um único arquivo malicioso

  • Truncamento do registro EOCD (End of Central Directory), removendo bytes críticos e causando erros de parsing

  • Randomização de campos não críticos do ZIP, como número de disco, levando ferramentas a esperar arquivos inexistentes


Segundo os pesquisadores, essas técnicas caracterizam um método conhecido como hashbusting, no qual cada vítima recebe um arquivo ZIP único. Isso torna inútil a simples verificação por hash, já que o mesmo arquivo nunca se repete entre diferentes downloads.


A cadeia de ataque envolve ainda a entrega do ZIP como um blob codificado em XOR, que é decodificado no navegador da vítima e anexado repetidamente a si mesmo até atingir um tamanho específico. Ao ser aberto, o arquivo executa um JavaScript via wscript.exe, cria persistência por meio de um atalho LNK na pasta de inicialização e, em seguida, utiliza PowerShell para avançar a infecção, coletar informações do sistema e se comunicar com servidores remotos.


Como medidas de mitigação, especialistas recomendam bloquear a execução de wscript.exe e cscript.exe para conteúdos baixados, quando não forem estritamente necessários, além de configurar políticas de grupo (GPO) para que arquivos .js sejam abertos por padrão em editores de texto, e não executados automaticamente.

 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11)97240-7838

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page