Analyse des archives ZIP malformées par Gootloader en 2025

En 2025, le malware Gootloader refait surface avec une nouvelle stratégie visant à contourner les outils de sécurité. En exploitant des archives ZIP volontairement malformées, il devient extrêmement difficile pour les analystes de décomposer et d’examiner ces fichiers, tout en permettant au script malveillant qu’ils contiennent de s’exécuter sans encombre. Découvrons comment Gootloader parvient à tromper les systèmes de sécurité.

L’essentiel à retenir

• Gootloader utilise des archives ZIP malformées pour échapper à l’analyse tout en permettant l’exécution des scripts malveillants.
• Les outils de désarchivage tiers peuvent échouer à ouvrir ces fichiers, contrairement à l’outil intégré à Windows.
• Des techniques de détection basées sur des motifs peuvent permettre d’identifier ces archives malicieuses.

Stratégie d’infection de Gootloader

Gootloader n’est pas un nouveau venu dans le domaine des logiciels malveillants. Actif depuis 2020, il joue un rôle clé dans le processus d’intrusion initiale des ransomwares. En 2025, Gootloader adopte une approche novatrice en utilisant des archives ZIP conçues pour tromper les outils de sécurité. Ces archives, bien que corrompues, permettent l’exécution du script malveillant, ce qui rend l’analyse particulièrement difficile.

Le fichier ZIP distribué par Gootloader contient un script JScript unique, mais sa taille est souvent disproportionnée par rapport au contenu réel. Les cybercriminels créent cet effet en concaténant entre 500 et 1 000 archives au sein d’un même fichier ZIP.

Défis posés aux outils de désarchivage

Lorsqu’un outil de décompression tente d’ouvrir un fichier ZIP, il commence généralement par lire l’End of Central Directory, une section cruciale pour extraire les fichiers. Gootloader exploite cette étape en altérant volontairement ces enregistrements pour compliquer l’analyse automatique. Des logiciels comme 7-Zip et WinRAR peuvent échouer sur ces archives, alors que l’outil de Windows, plus basique, parvient à les ouvrir.

La manipulation des champs et la présence de multiples couches inutiles rendent la tâche ardue pour les systèmes de sécurité, qui cherchent à reconstruire une structure cohérente.

Conseils pour contrer l’infection

Pour réduire les risques d’infection, il est conseillé de ne pas exécuter automatiquement les fichiers JScript. Associer ces fichiers à un éditeur de texte empêche leur exécution par simple double-clic. De plus, si JScript n’est pas nécessaire, il est recommandé de bloquer wscript.exe et cscript.exe pour empêcher l’exécution de scripts téléchargés.

Des règles YARA, basées sur des motifs techniques des fichiers ZIP, peuvent également être mises en place pour détecter et bloquer les archives suspectes utilisées par Gootloader.

Contexte et historique de Gootloader

Gootloader est apparu pour la première fois en 2020, se démarquant par son rôle dans les attaques de ransomwares. En tant que loader, il facilite l’intrusion initiale dans les systèmes, cédant ensuite l’accès à des acteurs spécialisés dans le chiffrement et l’extorsion. Sa réapparition en 2025 avec des tactiques affinées souligne la constante évolution des menaces cybernétiques et la nécessité pour les entreprises de rester vigilantes face à ces attaques sophistiquées.

Source : https://davfi.fr/gootloader-une-nouvelle-tactique-pour-contourner-les-outils-de-securite/