Comment le malware Gootloader exploite le format ZIP pour tromper les antivirus

Caché dans des dossiers ZIP, le malware Gootloader parvient à tromper la vigilance des solutions antivirus pour infecter nos appareils.

Malware iPhone
Crédits : 123RF

Gootloader est une famille de logiciels malveillants dont le but principal est d'infecter les appareils des utilisateurs avec des ransomwares. Ce type de programme vole des données ou bloque l'accès à la machine, et les victimes doivent passer à la caisse si elles souhaitent récupérer l'accès à leur dispositif ou éviter que leurs informations personnelles ne soient revendues sur le dark web.

Gootloader est connu depuis plusieurs années déjà, mais il a effectué une réapparition remarquée en novembre 2025, sous une autre forme, qui empêche les antivirus de le détecter, et donc de le bloquer avant qu'il puisse agir. Les experts en cybersécurité d'Expel se sont penchés sur le sujet pour comprendre son fonctionnement, et ont trouvé comment Gootloader passe sous les radars des différentes solutions de sécurité.

Une particularité du format ZIP exploitée par les pirates

Il semblerait que le groupe de pirates à l'origine de Gootloader collabore avec un autre acteur malveillant, Vanilla Tempest, auteur du ransomware Rhysida. La méthode de distribution du malware s'effectue par fichier ZIP, ce qui joue un rôle crucial pour échapper à la détection. “L'archive ZIP utilisée dans les campagnes Gootloader actuelles est volontairement corrompue. La plupart des logiciels de décompression, comme 7-Zip et WinRAR, ne parviennent pas à analyser ou extraire correctement son contenu. Cependant, le gestionnaire ZIP intégré à Windows l'ouvre sans problème, permettant ainsi aux cibles d'exécuter le fichier JScript intégré”, explique Expel.

L'analyse par rétro-ingénierie de ces archives ZIP révèle qu'il ne s'agit pas d'un fichier compressé unique, mais d'une chaîne de centaines de fichiers ZIP, dont le nombre varie entre 500 et 1 000. Ces fichiers sont modifiés pour chaque victime à l'aide de champs de métadonnées aléatoires, rendant la menace plus difficile à identifier par les antivirus. Cette technique exploite la manière de fonctionner du format ZIP, qui est lu à partir de la fin et dont la dernière structure ZIP reste valide malgré les données parasites précédentes.

Pour terminer de perturber les solutions antimalware, la fin du répertoire central est délibérément tronquée, et les champs non critiques, comme le numéro de disque, sont randomisés. Vous êtes prévenus : prenez garde avant d'ouvrir un fichier ZIP.


La rédaction vous conseille aussi...

Abonnez-vous gratuitement à la newsletter

Chaque jour, le meilleur de Phonandroid dans votre boite mail !

Réagissez à cet article !

Demandez nos derniers articles !

Moto Buds 2 officiels : Motorola remplace enfin ses vieux Moto Buds de 2024

À l’occasion du Mobile World Congress, Motorola présente deux nouvelles paires d’écouteurs. Il s’agit des Moto Buds 2 et Moto Buds 2 Plus. Affublés d’un design intra-auriculaire, ils remplacent les…

Poco Pad M1 : cette excellente tablette chute à moins de 175 €, c’est une affaire !

Une tablette avec un écran premium, une puce puissante et une autonomie conséquente pour moins de 175 € ? Cette offre risque de vous surprendre, et pourtant, il ne s’agit…

Cet opérateur lance un forfait mobile 200 Go prépayé avec Ligue 1+ inclus pour moins de 20 €

Lyca Mobile lance le premier forfait mobile prépayé avec accès à une plateforme de streaming sportif. Généreux en data et coûtant moins de 20 euros, il se pose comme une…

Apple dévoile les puces M5 Pro et M5 Max, les MacBook Pro entrent dans une nouvelle ère

Apple renouvelle ses MacBook Pro avec une nouvelle génération de puces maison. Les M5 Pro et M5 Max promettent un gain de puissance notable. La marque vise clairement les usages…

PC

Le meilleur jeu Fallout pourrait bientôt avoir droit à son remaster, quelle excellente nouvelle

Une image postée par un studio de développement presque inconnu du grand public a lancé la plus grosse rumeur du jour : le probable remaster du jeu Fallout le plus…

Apple dévoile ses nouveaux MacBook Air et Pro, avec une grande nouveauté

Apple renouvelle sa gamme de MacBook Air et Pro. Leur nouvelle puce leur octroie un gain de performances significatif, mais ce n’est pas tout : le Wi-Fi 7 arrive enfin…

PC

CMF Buds Pro 2 : les écouteurs sans fil de Nothing avec réduction de bruit chutent à moins de 35 €, vite !

Les offres du Choice Day AliExpress continuent d’arriver. Cette fois-ci nous sommes tombé sur une très belle offre concernant les écouteurs sans fil CMF Buds Pro 2 de Nothing. Ces…

Ce nouveau réglage dans Android 17 pourrait rendre votre téléphone plus rapide

Google teste un changement discret dans la nouvelle bêta d’Android 17. Il pourrait améliorer la rapidité du système et des applications. Derrière ce réglage technique se cache une petite révolution….

On a vu le Robot Phone, le smartphone d’un nouveau genre signé Honor

Le Robot Phone de Honor est présent au Mobile World Congress. Ce smartphone d’un nouveau genre, avec sa caméra pilotée par intelligence artificielle, a démontré qu’il n’est pas qu’un buzz….

MWC 2026 : on a vu la manette avec écran intégré de Samsung Display, gadget ou révolution ?

Le Mobile World Congress est l’une des occasions pendant lesquelles la division Display de Samsung présente ses dernières innovations. Parmi elles : un produit-concept avec écran intégré. Mais cela a-t-il de…