El archivo distribuido por Gootloader presenta un fen\u00f3meno intrigante: contiene un \u00fanico script JScript dise\u00f1ado para iniciar una infecci\u00f3n, pero esconde su verdadero prop\u00f3sito tras una envoltura incongruente. La mayor\u00eda de estos archivos ZIP tienen un tama\u00f1o desproporcionado, superando a veces los 70 MB, a pesar de que su contenido real apenas abarca unos pocos cientos de kilobytes. Para lograr esta anomal\u00eda, los operativos crean un archivo ZIP gigantesco, combinando entre 500 y 1,000 archivos comprimidos en secuencia.<\/p>\n
Cuando un programa de descompresi\u00f3n abre un archivo ZIP, normalmente comienza a leer desde el “End of Central Directory” (EoCD), que se encuentra al final del archivo. Este registro indica la ubicaci\u00f3n del “Central Directory”, que act\u00faa como un \u00edndice de los archivos que se pueden extraer. En el caso de Gootloader, la \u00faltima de las muchas capas de archivo contiene un EoCD exploitable, lo que permite extraer el script, a pesar de que las capas anteriores ofrecen informaci\u00f3n innecesaria.<\/p>\n
La maniobra se complica debido a que varios programas de descompresi\u00f3n de terceros, as\u00ed como soluciones de seguridad, no se limitan a una lectura m\u00ednima. En su lugar, intentan reconstruir una estructura m\u00e1s coherente, verificando m\u00e1s campos y cruzando los encabezados y directorios desde el EoCD. Los operadores de Gootloader alteran intencionalmente estas secciones, a menudo trunc\u00e1ndolas, para dificultar el an\u00e1lisis autom\u00e1tico. Esto puede causar que utilidades populares como 7-Zip o WinRAR no logren abrir el archivo, clasific\u00e1ndolo como corrupto, mientras que el descompresor integrado de Windows tiene la capacidad de abrirlo de manera efectiva.<\/p>\n
Una vez que el script malicioso se ejecuta, inicia una serie de operaciones que aseguran su persistencia. Crea accesos directos en la carpeta de inicio del usuario, lo que le permite reiniciarse autom\u00e1ticamente con cada inicio de sesi\u00f3n. Adem\u00e1s, coloca un segundo script en un directorio elegido al azar y utiliza Windows Script Host para ejecutarlo. A partir de este punto, PowerShell se activa para recuperar y ejecutar los componentes adicionales, lo que facilita una mayor compromisi\u00f3n del sistema.<\/p>\n
La complejidad de este m\u00e9todo subraya la necesidad imperiosa de estar al tanto de las amenazas digitales y de tener cuidado al manipular archivos ZIP desconocidos. Las t\u00e9cnicas empleadas por Gootloader revelan no solo la creatividad de los atacantes, sino tambi\u00e9n la importancia de una s\u00f3lida educaci\u00f3n en ciberseguridad, as\u00ed como el uso de herramientas de protecci\u00f3n adecuadas para mitigar los riesgos asociados con este tipo de malware.<\/p>\n