Análisis del archivo ZIP de Gootloader: ocultando un malware conocido
Un estudio sobre el archivo ZIP y su estructura
El archivo distribuido por Gootloader presenta un fenómeno intrigante: contiene un único script JScript diseñado para iniciar una infección, pero esconde su verdadero propósito tras una envoltura incongruente. La mayoría de estos archivos ZIP tienen un tamaño desproporcionado, superando a veces los 70 MB, a pesar de que su contenido real apenas abarca unos pocos cientos de kilobytes. Para lograr esta anomalía, los operativos crean un archivo ZIP gigantesco, combinando entre 500 y 1,000 archivos comprimidos en secuencia.
Entendiendo la mecánica detrás del ZIP
Cuando un programa de descompresión abre un archivo ZIP, normalmente comienza a leer desde el “End of Central Directory” (EoCD), que se encuentra al final del archivo. Este registro indica la ubicación del “Central Directory”, que actúa como un índice de los archivos que se pueden extraer. En el caso de Gootloader, la última de las muchas capas de archivo contiene un EoCD exploitable, lo que permite extraer el script, a pesar de que las capas anteriores ofrecen información innecesaria.
Los desafíos para los programas de descompresión
La maniobra se complica debido a que varios programas de descompresión de terceros, así como soluciones de seguridad, no se limitan a una lectura mínima. En su lugar, intentan reconstruir una estructura más coherente, verificando más campos y cruzando los encabezados y directorios desde el EoCD. Los operadores de Gootloader alteran intencionalmente estas secciones, a menudo truncándolas, para dificultar el análisis automático. Esto puede causar que utilidades populares como 7-Zip o WinRAR no logren abrir el archivo, clasificándolo como corrupto, mientras que el descompresor integrado de Windows tiene la capacidad de abrirlo de manera efectiva.
La cadena de infección desencadenada por el script
Una vez que el script malicioso se ejecuta, inicia una serie de operaciones que aseguran su persistencia. Crea accesos directos en la carpeta de inicio del usuario, lo que le permite reiniciarse automáticamente con cada inicio de sesión. Además, coloca un segundo script en un directorio elegido al azar y utiliza Windows Script Host para ejecutarlo. A partir de este punto, PowerShell se activa para recuperar y ejecutar los componentes adicionales, lo que facilita una mayor compromisión del sistema.
Conclusión: La seguridad ante todo
La complejidad de este método subraya la necesidad imperiosa de estar al tanto de las amenazas digitales y de tener cuidado al manipular archivos ZIP desconocidos. Las técnicas empleadas por Gootloader revelan no solo la creatividad de los atacantes, sino también la importancia de una sólida educación en ciberseguridad, así como el uso de herramientas de protección adecuadas para mitigar los riesgos asociados con este tipo de malware.
About the Author
