Gootloader Gunakan Arsip ZIP 1.000 Bagian untuk Distribusi Malware yang Lebih Tersembunyi

Malware Gootloader, yang kerap digunakan sebagai sarana initial access dalam berbagai serangan siber, kini mengadopsi teknik distribusi baru yang jauh lebih licik. Varian terbarunya memanfaatkan arsip ZIP cacat (malformed) yang digabungkan dari ratusan hingga seribu bagian untuk menghindari deteksi dan menyulitkan analisis keamanan.

Dalam kampanye terbaru ini, muatan berbahaya Gootloader—berupa berkas JScript yang diarsipkan—dikemas dalam ZIP hasil penggabungan hingga 1.000 arsip. Teknik tersebut memanfaatkan cara parser membaca struktur ZIP dari akhir berkas, sehingga banyak alat analisis gagal memprosesnya dengan benar. Peneliti melaporkan bahwa arsip berbahaya ini masih dapat diekstrak menggunakan utilitas bawaan Windows, sementara alat populer seperti 7-Zip dan WinRAR justru mengalami kegagalan atau crash saat mencoba menganalisisnya.

Untuk mencapai efek ini, operator ancaman menggabungkan antara 500 hingga 1.000 arsip ZIP sekaligus, disertai sejumlah trik tambahan guna memperumit proses parsing oleh alat keamanan. Gootloader sendiri telah aktif sejak 2020 dan kerap digunakan oleh berbagai operasi kejahatan siber, termasuk sebagai pintu masuk awal sebelum penyebaran ransomware.

Setelah sempat menghilang selama sekitar tujuh bulan, aktivitas Gootloader kembali terdeteksi pada November lalu, sebagaimana dilaporkan oleh peneliti dari Huntress Labs dan DFIR Report. Pada fase tersebut, arsip ZIP cacat sudah digunakan, namun masih dengan modifikasi terbatas dan ketidaksesuaian nama berkas saat proses ekstraksi.

Kini, berdasarkan analisis sampel yang lebih baru oleh peneliti Expel, operator Gootloader menerapkan teknik obfuscation yang jauh lebih agresif. Beberapa mekanisme anti-analisis yang diidentifikasi antara lain penggabungan hingga seribu arsip ZIP, penggunaan struktur End of Central Directory (EOCD) yang terpotong dan tidak lengkap, pengacakan field nomor disk untuk memicu asumsi arsip multi-disk yang tidak ada, serta ketidaksesuaian metadata antara Local File Header dan Central Directory.

Selain itu, setiap unduhan menghasilkan sampel ZIP dan JScript yang unik untuk menghindari deteksi statis. Muatan ZIP juga dikirim dalam bentuk blob yang dienkode XOR, lalu didekode dan digabungkan secara berulang di sisi klien hingga mencapai ukuran yang diinginkan. Pendekatan ini efektif menghindari deteksi berbasis jaringan.

Setelah berhasil dijalankan pada sistem korban, JScript Gootloader dieksekusi melalui Windows Script Host dari direktori sementara. Malware kemudian membangun persistensi dengan menambahkan berkas pintasan (.LNK) ke folder Startup yang menunjuk ke JScript kedua. Payload ini dieksekusi saat peluncuran awal dan setiap kali sistem dinyalakan, memicu rangkaian eksekusi yang melibatkan CScript, penggunaan NTFS shortnames, dan akhirnya menjalankan PowerShell.

Meski berbagai teknik korupsi struktur ditambahkan untuk menghindari deteksi tanpa merusak fungsionalitas, peneliti Expel menemukan bahwa anomali struktural tertentu justru dapat dimanfaatkan untuk identifikasi. Tim tersebut membagikan aturan YARA yang mampu mengenali arsip ZIP berbahaya ini secara konsisten, dengan mendeteksi kombinasi khas dari header ZIP, ratusan Local File Header yang berulang, serta catatan EOCD.

Sebagai langkah mitigasi, peneliti menyarankan agar administrator mengubah aplikasi default pembuka berkas JScript menjadi Notepad alih-alih Windows Script Host untuk mencegah eksekusi otomatis. Selain itu, pemblokiran wscript.exe dan cscript.exe dari menjalankan konten hasil unduhan direkomendasikan untuk memperkecil permukaan serangan, khususnya di lingkungan yang tidak memerlukan eksekusi JScript.

Evolusi teknik Gootloader ini menunjukkan bagaimana pelaku ancaman terus beradaptasi untuk menghindari alat keamanan modern, sekaligus menegaskan pentingnya deteksi berbasis perilaku dan pemeriksaan struktur berkas yang lebih mendalam.