JavaScript (aka JScript) kötü amaçlı yazılım yükleyicisi çağrıldı GootLoader 500’den 1.000’e kadar arşivi birleştirerek tespit çabalarını atlatmak için tasarlanmış hatalı biçimlendirilmiş bir ZIP arşivi kullanıldığı gözlemlendi.
Expel güvenlik araştırmacısı Aaron Walton, The Hacker News ile paylaşılan bir raporda “Oyuncu, anti-analiz tekniği olarak hatalı biçimlendirilmiş bir arşiv oluşturuyor” dedi. “Yani, arşivden çıkarma araçlarının çoğu bunu tutarlı bir şekilde çıkaramıyor, ancak kritik bir arşivden çıkarma aracı tutarlı ve güvenilir bir şekilde çalışıyor gibi görünüyor: Windows sistemlerinde yerleşik varsayılan araç.”
Bu, arşivin WinRAR veya 7-Zip gibi araçlar tarafından işlenemediği bir senaryoya yol açar ve bu nedenle birçok otomatik iş akışının dosya içeriğini analiz etmesini engeller. Aynı zamanda varsayılan Windows arşivden çıkarma aracı tarafından da açılabilir, böylece sosyal mühendislik planının kurbanı olan kurbanların JavaScript kötü amaçlı yazılımını ayıklayıp çalıştırabilmesi sağlanır.
GootLoader genellikle arama motoru optimizasyonu (SEO) zehirleme taktikleri veya kötü amaçlı reklam yoluyla dağıtılır ve yasal şablonlar arayan kullanıcıları, kötü amaçlı ZIP arşivlerini barındıran, risk altındaki WordPress sitelerine yönlendirmeyi hedefler. Diğer yükleyiciler gibi, fidye yazılımı da dahil olmak üzere ikincil yükler sağlamak üzere tasarlanmıştır. Kötü amaçlı yazılım en az 2020’den beri yaygın olarak tespit ediliyor.
Ekim 2025’in sonlarında, kötü amaçlı yazılımı yayan kötü amaçlı yazılım kampanyaları yeni hilelerle yeniden su yüzüne çıktı: dosya adlarını gizlemek için glif ikameli özel WOFF2 yazı tiplerinden yararlanmak ve kullanıcı sitedeki bir “İndir” düğmesini tıkladığında ZIP yüklerini sunmak için WordPress yorum uç noktasından (“/wp-comments-post.php”) yararlanmak.
Expel’in son bulguları, tehdit aktörlerinin tespitten kaçınmak için daha karmaşık gizleme mekanizmaları kullanmasıyla birlikte, dağıtım yöntemlerinin sürekli gelişimini vurguluyor:
- Kötü amaçlı ZIP dosyasını oluşturmak için 500-1.000 arşivi bir araya getirin
- Arşivin merkezi dizin sonu (EOCD) kaydını, beklenen yapıdan iki kritik baytı kaçıracak şekilde keserek ayrıştırma hatalarını tetikleyin
- Disk numarası ve Disk Sayısı gibi kritik olmayan alanlardaki değerleri rastgele hale getirerek arşivden çıkarma araçlarının var olmayan bir ZIP arşivi dizisi beklemesine neden olun
Walton, “Birlikte birleştirilen dosyaların rastgele sayısı ve belirli alanlardaki rastgele değerler, ‘hashbusting’ adı verilen bir savunmadan kaçınma tekniğidir” diye açıkladı.
“Uygulamada, GootLoader’ın altyapısından bir ZIP dosyası indiren her kullanıcı benzersiz bir ZIP dosyası alacaktır, dolayısıyla bu hash’i diğer ortamlarda aramak boşunadır. GootLoader geliştiricisi, ZIP arşivi ve arşivde bulunan JScript dosyası için hashbusting’i kullanır.”
Saldırı zinciri esas olarak ZIP arşivinin XOR kodlu bir blob olarak teslim edilmesini içerir; bu blob, kodu çözülür ve belirli bir boyuta ulaşana kadar istemci tarafında (yani kurbanın tarayıcısında) tekrar tekrar kendisine eklenir ve bir ZIP dosyasının iletimini tespit etmek için tasarlanmış güvenlik kontrollerini etkili bir şekilde atlar.
İndirilen ZIP arşivi kurban tarafından çift tıklandığında, Windows’un varsayılan arşivden çıkarma aracının, JavaScript yükünü içeren ZIP klasörünü Dosya Gezgini’nde açmasına neden olur. JavaScript dosyasının başlatılması, dosya içerikleri açıkça çıkarılmadığından, dosyanın geçici bir klasörden “wscript.exe” aracılığıyla yürütülmesini tetikler.
JavaScript kötü amaçlı yazılımı daha sonra kalıcılığı sağlamak için Başlangıç klasöründe bir Windows kısayol (LNK) dosyası oluşturur ve sonuçta cscript kullanarak ikinci bir JavaScript dosyası çalıştırır ve enfeksiyonu bir sonraki aşamaya taşımak için PowerShell komutlarını üretir. Önceki GootLoader saldırılarında PowerShell betiği, sistem bilgilerini toplamak ve uzak bir sunucudan komutlar almak için kullanılıyordu.
GootLoader’ın oluşturduğu tehdide karşı koymak için kuruluşlara, gerekmedikçe “wscript.exe” ve “cscript.exe”nin indirilen içeriği yürütmesini engellemeyi düşünmeleri ve JavaScript dosyalarının “wscript.exe” aracılığıyla çalıştırmak yerine varsayılan olarak Not Defteri’nde açıldığından emin olmak için bir Grup İlkesi Nesnesi (GPO) kullanmaları önerilir.