O malware conhecido como GootLoader voltou a apresentar atividade após um breve aumento no início de março, conforme indicam novas análises da empresa de cibersegurança Huntress.
Desde 27 de outubro de 2025, a Huntress identificou três infecções por GootLoader, das quais duas resultaram em ataques com “hands-on keyboard”, ou seja, intervenções manuais dos invasores.
Em um desses casos, o Domain Controller foi comprometido em menos de 17 horas após a infecção inicial.
Segundo a pesquisadora Anna Pham, o GootLoader “está de volta e agora utiliza fontes WOFF2 personalizadas com substituição de glifos para ofuscar nomes de arquivos”.
Além disso, o malware explora os endpoints de comentários do WordPress para entregar arquivos ZIP criptografados via XOR, cada um com uma chave única.
Associado ao grupo de ameaças conhecido como Hive0127 (ou UNC2565), o GootLoader é um loader baseado em JavaScript que costuma ser distribuído por meio de técnicas de SEO poisoning.
Seu objetivo é entregar cargas adicionais, incluindo ransomware.
Um relatório publicado pela Microsoft em setembro revelou que o grupo Vanilla Tempest obtém acesso por infecções causadas pelo GootLoader, atribuídas ao ator malicioso Storm-0494.
Esse acesso é usado para instalar uma backdoor chamada Supper (também conhecida como SocksShell ou ZAPCAT) e o software AnyDesk para controle remoto.
Essas cadeias de ataque resultaram na implantação do ransomware INC.
Vale lembrar que a backdoor Supper também foi associada ao Interlock RAT (ou NodeSnake), outro malware ligado ao ransomware Interlock.
Embora não haja evidências diretas de que o Interlock utilize a Supper, a ForeScout destacou no mês passado que grupos como Interlock e Vice Society já tiveram ligações com o ator Rhysida, indicando possíveis conexões dentro do ecossistema do crime cibernético.
No começo deste ano, a ameaça por trás do GootLoader foi identificada usando Google Ads para atrair vítimas que buscavam modelos legais, como contratos, redirecionando-as para sites WordPress comprometidos que hospedavam arquivos ZIP infectados.
Mais recentemente, a Huntress observou que buscas no Bing por termos como “missouri cover utility easement roadway” vêm sendo usadas para levar usuários a baixar arquivos ZIP maliciosos.
A novidade desta campanha é o uso de uma fonte web customizada que ofusca os nomes dos arquivos exibidos no navegador, dificultando a análise estática.
Pham explica: “Quando o usuário tenta copiar o nome do arquivo ou inspecionar o código-fonte, vê uma sequência estranha de caracteres, como ‛›μI€vSO₽*'Oaμ==€‚‚33O%33‚€×:O[TM€v3cwv,,”.
Porém, no navegador da vítima, esses mesmos caracteres são exibidos como texto legível, como Florida_HOA_Committee_Meeting_Guide.pdf.
Isso é possível graças a uma fonte WOFF2 personalizada, embutida no código JavaScript pela codificação Z85 — uma variante do Base85 que comprime a fonte de 32 KB para 40 KB.”
Outra técnica nova identificada altera o arquivo ZIP para que, ao ser aberto por ferramentas de análise automatizadas, como VirusTotal, utilitários ZIP do Python ou 7-Zip, ele se revele um arquivo .TXT aparentemente inofensivo.
No entanto, no Windows Explorer, o arquivo extrai um código JavaScript válido, que é a carga maliciosa pretendida.
De acordo com um pesquisador que acompanha o GootLoader, essa simples técnica de evasão proporciona tempo para os invasores ocultarem a verdadeira natureza do payload das análises automáticas.
O payload em JavaScript dentro desse arquivo tem como missão implantar a backdoor Supper, capaz de controle remoto e proxy SOCKS5.
Em pelo menos um caso analisado, os atacantes utilizaram o Windows Remote Management (WinRM) para se movimentar lateralmente até o Domain Controller e criar um novo usuário com privilégios administrativos.
Conforme detalha a Huntress, a backdoor Supper utiliza uma ofuscação complexa para esconder funcionalidades básicas, como chamadas repetidas de API, construção de shellcode em tempo de execução e criptografia personalizada.
Apesar disso, suas capacidades centrais são simples: proxy SOCKS e acesso remoto via shell.
Esse “bom o suficiente” demonstra que, para os criminosos, não é necessário usar exploits sofisticados quando ferramentas consagradas e bem ofuscadas já cumprem seus objetivos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...