O Gootloader está de volta. Após sete meses fora de operação, o carregador de malware baseado em JavaScript, conhecido como Gootloader, voltou a funcionar. Como carregador, sua função é manipular resultados de busca por meio de uma técnica chamada envenenamento de SEO para dar destaque para sites maliciosos e infectar vítimas.O modus operandi deles é bem engenhoso. Eles manipulam os resultados de busca do Google através de técnicas de SEO, fazendo com que sites comprometidos ou controlados por eles apareçam no topo quando alguém pesquisa por documentos legais, contratos, acordos de confidencialidade, esse tipo de coisa. Segundo os pesquisadores, a operação atual já espalhou milhares de palavras-chave únicas em mais de 100 sites comprometidos, ampliando significativamente sua superfície de ataque.Como funcionaAntigamente eles criavam falsos fóruns de discussão onde usuários fictícios recomendavam templates de documentos. Agora eles usam sites que parecem oferecer esses templates gratuitamente. Os sites são estruturados para parecer legítimos, com botões de "Download" ou "Get Document" que primeiro verificam se o visitante é um usuário real antes de entregar o payload malicioso – uma tentativa de evitar análise automatizada por sandboxes e ferramentas de segurança.Exemplo de anúncio malicioso, parte da campanha do Gootloader. Imagem: Gootloader researcher.No entanto, quando você clica para fazer o download do documento, recebe um arquivo ZIP – que parece ter o template que você queria, mas na verdade é um código JavaScript malicioso. O arquivo tem uma nomenclatura que reforça a aparência legítima, como "mutual_non_disclosure_agreement.js" ou "Review_Hearings_Manual_2025.js", explorando o fato de que muitos usuários não verificam as extensões de arquivo antes de executá-los.Depois do primeiro acesso tudo pioraSe o arquivo é aberto, o Gootloader é executado e começa a baixar outras ameaças muito mais graves, como o Cobalt Strike, backdoors e bots que dão acesso completo à rede corporativa da vítima. O carregador é conectado a redes de cibercriminosos, ou seja, ele é só a porta de entrada para outros tipos de ataques.Isso porque, com acesso à rede corporativa, por exemplo, é possível fazer ataques de ransomware e coletar dados para engenharia social. A velocidade de progressão do ataque é alarmante: de acordo com observações da Huntress Labs, os operadores conseguem realizar reconhecimento da rede em apenas 20 minutos após a infecção inicial e comprometer o Domain Controller – o servidor central que controla autenticação e acesso em redes Windows – em apenas 17 horas.Operação interrompida por 7 mesesO grupo teve suas operações interrompidas após um pesquisador de cibersegurança, que usava o codinome Gootloader, denunciar as campanhas do grupo para os provedores e plataformas de hospedagem de sites. O pesquisador trabalhou ativamente por anos rastreando e desmantelando a infraestrutura do Gootloader através de relatórios de abuso para ISPs e plataformas de hospedagem. O 'web justiceiro' conseguiu paralisar as ações do grupo por 7 meses – especificamente desde 31 de março de 2025 – mas tudo que é bom dura pouco.Fato é que o grupo voltou ainda mais forte e com algumas alterações em seu modus operandi. Agora, o Gootloader tem usado uma técnica de ZIPs malformados, fontes web especiais e um backdoor chamado Supper SOCKS5. Essas inovações demonstram a capacidade de adaptação do grupo e sua determinação em contornar as medidas de detecção que causaram sua pausa forçada.Tudo sobre as novas funcionalidades do GootloaderApresentando devidamente cada um deles, conseguimos entender melhor a evolução da operação.Os ZIPs malformados funcionam assim: quando o arquivo é extraído via Windows Explorer, ele baixa o JavaScript malicioso, como o normal. No entanto, quando ele é analisado por aplicativos antivírus, por exemplo, ele mostra um texto que parece inofensivo. A estrutura do arquivo ZIP contém tanto o arquivo JavaScript malicioso quanto um arquivo de texto legítimo (.txt), mas é deliberadamente corrompida de forma que diferentes ferramentas de extração interpretem o conteúdo de maneiras distintas. Ferramentas como VirusTotal, utilitários zip do Python e 7-Zip extraem o arquivo de texto inofensivo, enquanto o Windows Explorer extrai o JavaScript malicioso. Essa técnica de polimorfismo de arquivo permite que o malware passe despercebido por análises automatizadas em plataformas de segurança.As fontes web especiais têm características metamórficas, praticamente. Quando os cibercriminosos se utilizam dela, elas trocam as formas das letras. Então no código fonte do site você vê um texto completamente sem sentido, mas quando o navegador renderiza a página com aquela fonte específica, as letras aparecem normais. A técnica funciona manipulando os glifos da fonte em nível vetorial. Os metadados da fonte parecem completamente legítimos – o caractere "O" mapeia para um glifo chamado "O", o caractere "a" mapeia para um glifo chamado "a", e assim por diante. Porém, os caminhos vetoriais reais que definem esses glifos foram trocados. Quando o navegador solicita a forma do glifo "O", a fonte fornece as coordenadas vetoriais que desenham a letra "F". Da mesma forma, "a" desenha "l", "9" desenha "o", e caracteres Unicode especiais como "±" desenham "i". Assim, uma string sem sentido como "Oa9Z±h•" no código fonte é renderizada na tela como "Florida". Essa técnica não utiliza recursos de substituição OpenType ou tabelas de mapeamento de caracteres convencionais, tornando-a particularmente difícil de detectar por ferramentas de análise estática.Isso engana tanto ferramentas de segurança quanto pesquisadores que tentam encontrar palavras-chave suspeitas no código.Já o backdoor, que está associado a um grupo de ransomware conhecido como Vanilla Tempest, é um método usado para acessar sistemas que ignora os procedimentos normais de autenticação, permitindo acesso não autorizado. O grupo dono do malware tem um histórico extenso de ataques e já trabalhou com várias gangues de ransomware conhecidas. O Vanilla Tempest, rastreado por empresas de segurança, tem histórico comprovado de afiliação com operações de ransomware de alto perfil, incluindo Inc, BlackCat, Quantum Locker, Zeppelin e Rhysida. O backdoor Supper funciona como um proxy SOCKS5, permitindo que os atacantes encaminhem tráfego de rede através do dispositivo infectado, mantendo persistência na rede e estabelecendo um canal de comunicação criptografado para comando e controle. Isso permite movimentação lateral pela rede corporativa, exfiltração de dados e, eventualmente, a implantação de ransomware.A combinação dessas três técnicas – ZIPs malformados, ofuscação por fontes web e o backdoor Supper – representa uma evolução significativa na sofisticação do Gootloader, demonstrando que a operação não apenas retornou, mas voltou com capacidades aprimoradas de evasão e persistência.