Após um silêncio de sete meses, o malware Gootloader voltou à ativa — e desta vez com truques ainda mais engenhosos. A campanha reapareceu usando novas técnicas de ofuscação e evasão que confundem tanto usuários quanto ferramentas de segurança, colocando empresas e usuários domésticos em alerta máximo.
O objetivo deste artigo é explicar de maneira clara como funciona o retorno do malware Gootloader, como ele engana os sistemas de busca usando SEO poisoning e, principalmente, os dois novos métodos que tornam essa campanha especialmente perigosa: a ofuscação de glifos de fonte e os arquivos ZIP malformados.
Essa ameaça se disfarça de documentos legais, contratos ou modelos de formulários, aparecendo nos primeiros resultados do Google. Atrás dessa fachada, está um mecanismo capaz de abrir caminho para ferramentas como Cobalt Strike, acesso remoto total com Super SOCKS5 e ataques de ransomware realizados por grupos como Vanilla Tempest.
O que é o Gootloader e por que seu retorno é preocupante?
O Gootloader é um loader, ou seja, um carregador de malware, escrito em JavaScript. Sua função principal não é causar dano direto, mas abrir a porta de entrada para outras ameaças, como backdoors, ferramentas de espionagem e, mais adiante, ransomware.
Como o Gootloader engana as vítimas?
A campanha usa uma técnica conhecida como SEO poisoning, onde criminosos criam sites falsos que oferecem downloads de documentos como modelos de contratos, cartas de rescisão ou acordos de confidencialidade. Esses sites são manipulados para aparecer no topo dos resultados do Google.
Após um hiato de sete meses — possivelmente devido a ações de pesquisadores de segurança — o Gootloader ressurgiu, como relatado pela Huntress Labs. E voltou mais sofisticado: agora, combina táticas antigas com dois truques inéditos que estão desafiando analistas e ferramentas automatizadas.
Por que isso é perigoso?
O Gootloader não age sozinho. Ele prepara o ambiente para ataques maiores, permitindo a instalação de ferramentas como Cobalt Strike, que dá aos invasores controle completo da rede. A partir daí, grupos como o Vanilla Tempest podem executar ransomware, sequestrando dados corporativos.
O novo arsenal do malware Gootloader
Com sua volta, o Gootloader trouxe duas técnicas inéditas que dificultam sua detecção e análise. São métodos simples, mas altamente eficazes.
Truque 1: A ofuscação de fonte que engana os robôs
Esse é talvez o truque mais criativo da nova campanha.
Os criminosos criaram uma fonte personalizada (web font) usada nos sites falsos. No código-fonte HTML, o texto parece um monte de símbolos sem sentido, como “Oa9Z±h•”. Porém, essa fonte foi modificada de forma que, quando renderizada no navegador, esses símbolos são convertidos em palavras reais, como “contrato”, “fatura” ou “Florida”.
Por que isso é tão eficiente?
- Ferramentas de segurança automatizadas leem o código original, não a versão renderizada no navegador. Para elas, o conteúdo parece lixo.
- Pesquisadores que buscam por termos como “invoice”, “NDAs” ou “contrato” não conseguem detectar nada suspeito.
- Para o usuário comum, o site parece legítimo, bem escrito e confiável.
Isso dificulta o trabalho de analistas e até de empresas de segurança que usam buscas por palavras-chave para identificar sites maliciosos.
Truque 2: O ZIP malformado que só o Windows entende
O segundo truque está no momento do download.
O site oferece um arquivo .ZIP supostamente contendo o tal documento gratuito. Porém, esse ZIP é intencionalmente corrompido ou malformado.
O que acontece na prática?
- No Windows Explorer: o arquivo abre normalmente e revela um .js malicioso, pronto para ser executado.
- Em programas como 7-Zip, VirusTotal ou sandboxes de análise: o arquivo apresenta erro, não abre ou exibe apenas um arquivo benigno, como documento.txt.
Esse método faz com que apenas a vítima real tenha acesso ao arquivo perigoso, enquanto analistas e ferramentas de verificação não veem nada de anormal. É uma técnica clássica de evasão de sandbox e anti-análise, mas aplicada de forma extremamente eficiente.
O impacto do ataque: rápido, silencioso e devastador
A Huntress Labs relatou que, após a infecção inicial:
- Em 20 minutos, os atacantes começam a mapear a rede da vítima.
- Em menos de 17 horas, o Controlador de Domínio (DC) pode ser comprometido.
- O payload final inclui o backdoor Super SOCKS5, que fornece acesso remoto completo aos invasores.
Com esse nível de acesso, grupos de ransomware conseguem se mover lateralmente pela rede, exfiltrar dados e criptografar servidores essenciais.
Como se proteger da nova onda do Gootloader
Medidas essenciais de proteção
- Desconfie de sites que oferecem modelos de contratos e documentos gratuitos.
- Nunca execute arquivos com extensão .js baixados da internet.
- Prefira fontes oficiais ou sites governamentais para documentos jurídicos.
- Treine equipes para identificar SEO poisoning e resultados suspeitos no Google.
- Mantenha Windows, antivírus e soluções de segurança sempre atualizados.
- Implemente políticas de bloqueio para execução de scripts desconhecidos.
Resumo para administradores e profissionais de TI
- O malware Gootloader está ativo novamente.
- Utiliza ofuscação de fonte e ZIPs malformados para escapar de detecção.
- Rapidamente compromete redes e instala ferramentas como Cobalt Strike.
- Pode resultar em ataques de ransomware e vazamento massivo de dados.
