Uma nova campanha do malware GootLoader está preocupando profissionais de cibersegurança por empregar uma técnica avançada que burla mecanismos tradicionais de detecção, inclusive antivírus populares. O ataque utiliza arquivos ZIP manipulados, formados por centenas ou até milhares de arquivos compactados concatenados, para enganar ferramentas de análise e infectar sistemas com malware em JavaScript. O GootLoader já é conhecido por sua capacidade de entregar cargas maliciosas sob disfarces legítimos, como documentos de contratos ou templates de negócios.
Agora, a ameaça evoluiu com o uso de arquivos ZIP que aparentam ser inofensivos, mas que escondem uma estrutura complexa com centenas de arquivos internos unidos de forma maliciosa. Esse empacotamento incomum dificulta a visualização completa do conteúdo dos arquivos e confunde sistemas de segurança que dependem de análises estáticas. Muitas soluções antivírus não conseguem lidar corretamente com essa estrutura, permitindo que o malware chegue ao sistema da vítima sem alertas. Quando o usuário extrai e abre o arquivo, um script JavaScript altamente ofuscado é executado. Esse código malicioso pode baixar outras ameaças, como trojans bancários, stealers de informações e backdoors que abrem acesso remoto ao dispositivo afetado. A técnica exige pouquíssima interação.
Em muitos casos, basta que a vítima clique para abrir o documento acreditando se tratar de um conteúdo legítimo, como um modelo jurídico ou formulário corporativo. A simplicidade do processo torna a infecção rápida e silenciosa. O tráfego para os arquivos maliciosos geralmente vem de resultados de busca manipulados. Os operadores do GootLoader criam sites com SEO otimizado para aparecer nas primeiras posições do Google, enganando usuários em busca de documentos prontos ou materiais profissionais. Essa nova abordagem aumenta significativamente o risco, pois combina engenharia social com evasão técnica em larga escala. A dificuldade de detectar os arquivos durante as análises automatizadas amplia a janela de tempo para que os cibercriminosos atuem.
