Es una técnica de evasión de defensa llamada 'hashbusting'

Se ha observado que el cargador de malware JavaScript (también conocido como JScript) llamado GootLoader utiliza un archivo ZIP malformado que está diseñado para eludir los esfuerzos de detección concatenando entre 500 y 1000 archivos.

"El actor crea un archivo malformado como técnica antianálisis", declaró en un informe Aaron Walton, investigador de seguridad de Expel. "Es decir, muchas herramientas de desarchivado no pueden extraerlo de forma consistente, pero una herramienta crítica parece funcionar de forma consistente y fiable: la herramienta predeterminada integrada en los sistemas Windows".

Esto provoca que el archivo comprimido no pueda ser procesado por herramientas como WinRAR o 7-Zip, lo que impide que muchos flujos de trabajo automatizados analicen su contenido. Al mismo tiempo, puede ser abierto por el descompresor predeterminado de Windows, lo que garantiza que las víctimas de la estrategia de ingeniería social puedan extraer y ejecutar el malware JavaScript.

GootLoader se distribuye generalmente mediante tácticas de envenenamiento SEO o publicidad maliciosa, dirigidas a usuarios que buscan plantillas legales para acceder a sitios web de WordPress comprometidos que alojan archivos ZIP maliciosos. Al igual que otros cargadores, está diseñado para distribuir cargas útiles secundarias, incluyendo ransomware. Este malware se ha detectado en la red desde al menos 2020.

A fines de octubre de 2025, las campañas de malware que propagaban el malware resurgieron con nuevos trucos: aprovechaban fuentes WOFF2 personalizadas con sustitución de glifos para ofuscar nombres de archivos y explotaban el punto final de comentarios de WordPress ("/wp-comments-post.php") para entregar las cargas útiles ZIP cuando un usuario hace clic en el botón "Descargar" en el sitio.

Los últimos hallazgos de Expel resaltan la continua evolución de los métodos de entrega, con los actores de amenazas empleando mecanismos de ofuscación más sofisticados para evadir la detección.

• Concatenar entre 500 y 1000 archivos para crear el archivo ZIP malicioso
• Trunca el registro de fin de directorio central (EOCD) del archivo de modo que pierda dos bytes críticos de la estructura esperada, lo que provoca errores de análisis.
• Aleatoriza valores en campos no críticos, como número de disco y Número de discos, lo que provoca que las herramientas de desarchivado esperen una secuencia de archivos ZIP que no existen

"El número aleatorio de archivos concatenados entre sí y los valores aleatorios en campos específicos son una técnica de evasión de defensa llamada 'hashbusting'", explicó Walton.

En la práctica, cada usuario que descarga un archivo ZIP de la infraestructura de GootLoader recibirá un archivo ZIP único, por lo que es inútil buscar ese hash en otros entornos. El desarrollador de GootLoader utiliza la técnica de hashbusting para el archivo ZIP y para el archivo JScript que contiene.

La cadena de ataque implica esencialmente la entrega del archivo ZIP como un blob codificado con XOR, que se decodifica y se agrega repetidamente a sí mismo en el lado del cliente (es decir, en el navegador de la víctima) hasta que alcanza un tamaño establecido, eludiendo efectivamente los controles de seguridad diseñados para detectar la transmisión de un archivo ZIP.

Al hacer doble clic en el archivo ZIP descargado, el descompresor predeterminado de Windows abrirá la carpeta ZIP que contiene la carga útil de JavaScript en el Explorador de archivos. Al abrir el archivo JavaScript, se activa su ejecución mediante "wscript.exe" desde una carpeta temporal, ya que el contenido del archivo no se extrajo explícitamente.

El malware JavaScript crea un archivo de acceso directo de Windows (LNK) en la carpeta de inicio para establecer persistencia y, finalmente, ejecuta un segundo archivo JavaScript mediante cscript, lo que genera comandos de PowerShell para llevar la infección a la siguiente etapa. En ataques anteriores de GootLoader, el script de PowerShell se utiliza para recopilar información del sistema y recibir comandos de un servidor remoto.

Para contrarrestar la amenaza que representa GootLoader, se recomienda a las organizaciones que consideren bloquear "wscript.exe" y "cscript.exe" para que no ejecuten contenido descargado si no es necesario y utilizar un objeto de política de grupo (GPO) para garantizar que los archivos JavaScript se abran en el Bloc de notas de forma predeterminada, en lugar de ejecutarlos a través de "wscript.exe".