A operação do malware loader Gootloader voltou a atuar após um hiato de sete meses, retomando suas campanhas de SEO poisoning para promover sites falsos que distribuem malware.
O Gootloader é um loader baseado em JavaScript, propagado por sites comprometidos ou controlados por atacantes, que enganam usuários para que baixem documentos maliciosos.
Esses sites são impulsionados nos motores de busca por meio de anúncios pagos ou técnicas de SEO poisoning — que manipulam os resultados para posicionar esses domínios no topo ao buscar termos relacionados, como “documentos legais” e “contratos”.
Anteriormente, esses sites exibiam fóruns falsos que simulavam discussões sobre dúvidas dos usuários, com postagens recomendando templates maliciosos para download.
Recentemente, a tática mudou para sites que supostamente oferecem templates gratuitos para diversos documentos jurídicos.
Ao clicar no botão “Get Document” (Obter Documento), o site verifica se o visitante é legítimo e, caso a confirmação seja positiva, faz o download de um arquivo compactado contendo um documento malicioso com extensão .js.
Por exemplo, o arquivo dentro do ZIP pode se chamar mutual_non_disclosure_agreement.js.
A execução desse arquivo JavaScript ao abrir o documento inicia a instalação de cargas adicionais, como Cobalt Strike, backdoors e bots que garantem o acesso inicial às redes corporativas.
A partir daí, outros atores ameaçadores exploram esse acesso para implantar ransomware ou promover ataques mais complexos.
Um pesquisador de cibersegurança, que atua sob o pseudônimo “Gootloader”, vem acompanhando e interrompendo essa operação há anos, enviando denúncias para provedores de internet (ISPs) e plataformas de hospedagem para derrubar a infraestrutura controlada pelos criminosos.
Segundo ele, essas ações forçaram a cessação repentina da operação em 31 de março de 2025.
Agora, o pesquisador e Anna Pham, da Huntress Labs, reportam o retorno do Gootloader em uma nova campanha, novamente infiltrada por documentos legais falsos.
“Nesta última campanha, observamos milhares de palavras-chave únicas distribuídas em mais de 100 sites”, afirmam em um post recente.
“O objetivo permanece o mesmo: convencer as vítimas a baixar um arquivo ZIP malicioso contendo um arquivo JScript (.JS) que estabelece o acesso inicial para atividades posteriores — geralmente resultando na implantação de ransomware.”
Entretanto, essa nova variante utiliza técnicas avançadas para dificultar a análise automática e o trabalho dos pesquisadores de segurança.
A Huntress identificou que o JavaScript adicionado aos sites maliciosos esconde os nomes reais dos arquivos usando uma fonte web especial que substitui letras por símbolos visuais parecidos.
No código-fonte HTML, o texto aparece como uma sequência sem sentido, mas, quando a página é renderizada no navegador, os glifos da fonte trocada exibem palavras normais.
Isso dificulta a identificação de palavras-chave como “invoice” (fatura) ou “contract” (contrato) por ferramentas de segurança ou pesquisadores.
Diferentemente do comum, em que fontes OpenType usam tabelas de substituição de caracteres, o loader altera o que cada glifo desenha.
O metadado da fonte parece legítimo — a letra “O” corresponde ao glifo “O”, o “a” ao “a” —, mas os vetores que definem essas letras foram trocados internamente.
Ao pedir o glifo “O”, o navegador recebe a forma do “F”; “a” desenha “l”; “9” desenha “o”, e caracteres Unicode especiais, como “±”, geram um “i”.
Por isso, uma cadeia de texto aparentemente sem sentido como “Oa9Z±h•” aparece como “Florida” na página.
Pesquisadores do DFIR Report também descobriram que o Gootloader usa arquivos ZIP malformados para distribuir seus scripts.
Esses arquivos são criados para que, caso extraídos com o Explorador de Arquivos do Windows, o arquivo malicioso Review_Hearings_Manual_2025.js seja extraído.
Porém, se forem abertos em ferramentas como VirusTotal, utilitários zip do Python ou 7-Zip, o conteúdo extraído é um arquivo inofensivo de texto chamado Review_Hearings_Manual_202.txt.
Essa divergência ocorre porque o arquivo ZIP está mal formado, contendo ambos os arquivos, mas é extraído de forma diferente conforme o programa usado.
Ainda não está claro se essa técnica é a mesma “concatenação” descrita em 2024 ou uma nova forma de forçar o Windows a extrair o arquivo .js.
Por fim, a campanha distribui o backdoor Supper SOCKS5 nos dispositivos comprometidos, dando acesso remoto à rede das vítimas.
Esse backdoor é conhecido por ser usado por um afiliado de ransomware monitorado como Vanilla Tempest.
Esse ator tem um histórico extenso em ataques com ransomware e já foi afiliado das campanhas Inc, BlackCat, Quantum Locker, Zeppelin e Rhysida.
Nos ataques identificados pela Huntress, o invasor agia rapidamente: realizava reconhecimento em 20 minutos após a infecção e comprometia o Domain Controller em até 17 horas.
Com o retorno do Gootloader, usuários domésticos e corporativos devem redobrar a atenção ao buscar e baixar contratos ou templates legais online.
A menos que o site seja reconhecido e confiável, o ideal é desconfiar e evitar esse tipo de download.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...