O Gootloader, carregador de malware baseado em JavaScript que manipula resultados de busca (SEO poisoning) para infectar vítimas, retomou operações depois de sete meses fora do ar. Em vez de voltar na mesma, a campanha evoluiu: agora espalha milhares de palavras-chave únicas em mais de 100 sites comprometidos e usa truques novos para escapar da detecção e abrir portas para ameaças muito maiores, como Cobalt Strike e ransomware.
Como a isca funciona
Os operadores criam páginas que parecem oferecer templates legais (contratos, acordos, formulários). Esses sites aparecem no topo do Google para buscas por documentos profissionais. Quem clica em “Download” recebe um ZIP que, aparentemente, contém o template — mas, ao abrir, entrega um arquivo .js malicioso (ex.: mutual_non_disclosure_agreement.js). Muitos usuários nem notam a extensão e executam o que não devem.
Se o JavaScript é executado, o Gootloader baixa payloads adicionais: backdoors, loaders e ferramentas de acesso remoto que permitem reconhecimento, movimentação lateral e comprometimento do Domain Controller em questão de horas.
O que mudou desde a última vez que eles foram desativados
Os operadores aprimoraram três vetores principais:
1. ZIPs malformados (polimorfismo de extração)
O ZIP contém tanto um .js malicioso quanto um .txt aparentemente inocente, mas o arquivo é corrompido de forma seletiva. Dependendo da ferramenta de extração, o conteúdo retornado é diferente: o **Windows Explorer** extrai o JavaScript malicioso; utilitários como 7-Zip, Python zip ou serviços de sandbox podem extrair apenas o .txt` inofensivo. Isso reduz detecções automatizadas e análises em sandboxes.
2. Fontes web “espertas” (ofuscação por glifos vetoriais)
O código-fonte do site contém strings que parecem nonsense, mas ao carregar uma fonte especial no navegador os glifos são mapearados para formar palavras legíveis. Tecnicamente, os vetores que desenham cada glifo foram trocados — quando o navegador renderiza, aparece “Florida” onde, no código, há um monte de caracteres estranhos. Ferramentas que buscam por palavras-chave no HTML falham ao encontrar a isca.
3. Backdoor “Supper” (Socks5 + persistência)
Após comprometimento, o atacante instala um backdoor que cria um proxy SOCKS5 (Supper), permitindo rotear tráfego através da máquina infectada. Isso dá persistência, canal de C2 criptografado e capacidade de exfiltrar dados, mover-se lateralmente e, eventualmente, implantar ransomware. O Supper está ligado a grupos associados à distribuição de ransomware (Vanilla Tempest e afiliações conhecidas).
Por que isso é perigoso para empresas
A progressão é rápida: reconhecimento de rede em ~20 minutos e comprometimento do controlador de domínio em ~17 horas, segundo observações da Huntress Labs. Com isso a cadeia típica é: carregador → download de loaders/backdoors → movimento lateral → exfiltração/implantação de ransomware. O uso de SEO garante alcance amplo; a ofuscação e os ZIPs malformados dificultam a detecção precoce.
Como se proteger (medidas práticas e imediatas)
-
Nunca execute arquivos
.js,.exeou outros binários vindos de downloads não verificados. -
Treine a equipe: campanhas que imitam documentos legais são iscas clássicas. Verificar extensão e origem é mandatório.
-
Bloqueie execuções de scripts desconhecidos: políticas de execução do Windows (PowerShell/ScriptBlock, Applocker/Windows Defender Application Control) reduzem superfície de ataque.
-
Implemente EDR com detecção comportamental: agentes modernos pegam atividades de reconhecimento e movimentos laterais, mesmo se o arquivo passou pelo filtro inicial.
-
Faça segmentação de rede e proteção do Domain Controller: limitar privilégios e isolar servidores críticos dificulta a escalada.
-
Monitore tráfego SOCKS5 e conexões suspeitas de saída: backdoors costumam criar proxies; alertas nesse padrão são sinal de C2.
-
Use sandboxes variadas: não dependa de um único analisador — ZIP malformados visam justamente ferramentas específicas.
-
Backups offline e plano de resposta a incidentes testado: preparação determina o quanto o ataque pode ser contido.
O Gootloader não é apenas um “carregador” básico: ele voltou com técnicas de evasão e persistência pensadas para driblar análises automatizadas e transformar um clique inocente em um incidente corporativo grave. Defender-se exige combinação de prevenção técnica, conscientização humana e monitoramento contínuo.
