Comment le malware Gootloader exploite le format ZIP pour tromper les antivirus
Caché dans des dossiers ZIP, le malware Gootloader parvient à tromper la vigilance des solutions antivirus pour infecter nos appareils.
Gootloader est une famille de logiciels malveillants dont le but principal est d'infecter les appareils des utilisateurs avec des ransomwares. Ce type de programme vole des données ou bloque l'accès à la machine, et les victimes doivent passer à la caisse si elles souhaitent récupérer l'accès à leur dispositif ou éviter que leurs informations personnelles ne soient revendues sur le dark web.
Gootloader est connu depuis plusieurs années déjà, mais il a effectué une réapparition remarquée en novembre 2025, sous une autre forme, qui empêche les antivirus de le détecter, et donc de le bloquer avant qu'il puisse agir. Les experts en cybersécurité d'Expel se sont penchés sur le sujet pour comprendre son fonctionnement, et ont trouvé comment Gootloader passe sous les radars des différentes solutions de sécurité.
Une particularité du format ZIP exploitée par les pirates
Il semblerait que le groupe de pirates à l'origine de Gootloader collabore avec un autre acteur malveillant, Vanilla Tempest, auteur du ransomware Rhysida. La méthode de distribution du malware s'effectue par fichier ZIP, ce qui joue un rôle crucial pour échapper à la détection. “L'archive ZIP utilisée dans les campagnes Gootloader actuelles est volontairement corrompue. La plupart des logiciels de décompression, comme 7-Zip et WinRAR, ne parviennent pas à analyser ou extraire correctement son contenu. Cependant, le gestionnaire ZIP intégré à Windows l'ouvre sans problème, permettant ainsi aux cibles d'exécuter le fichier JScript intégré”, explique Expel.
L'analyse par rétro-ingénierie de ces archives ZIP révèle qu'il ne s'agit pas d'un fichier compressé unique, mais d'une chaîne de centaines de fichiers ZIP, dont le nombre varie entre 500 et 1 000. Ces fichiers sont modifiés pour chaque victime à l'aide de champs de métadonnées aléatoires, rendant la menace plus difficile à identifier par les antivirus. Cette technique exploite la manière de fonctionner du format ZIP, qui est lu à partir de la fin et dont la dernière structure ZIP reste valide malgré les données parasites précédentes.
Pour terminer de perturber les solutions antimalware, la fin du répertoire central est délibérément tronquée, et les champs non critiques, comme le numéro de disque, sont randomisés. Vous êtes prévenus : prenez garde avant d'ouvrir un fichier ZIP.
-
ChatGPT se souvient désormais de conversations que vous avez eues il y a un anOpenAI déploie une mise à jour importante pour ChatGPT. Son chatbot IA dispose dorénavant d’une mémoire remontant à un an. Cette nouvelle fonction lui permet de retrouver rapidement des informations d’anciennes discussions et requêtes pour l’utilisateur qui souhaite remettre la…
-
La Chine veut déployer 200 000 satellites en orbite de la Terre, mais pour quoi faire ?
L’hégémonie des États-Unis dans l’espace pourrait bientôt s’arrêter. La Chine prévoit un déploiement massif de près de 200 000 satellites en orbite de la Terre d’ici à sept ans. L’orbite terrestre pourrait prochainement être saturée de satellites chinois. L’Institute of…
-
Samsung The Frame 2025 : le prix de la TV continue de chuter avec 620€ de remise, mais ce week-end seulement !
Déjà en promotion au début des soldes à 1290€ au lieu de 1790€, la The Frame 2025 de 65 pouces profite d’une nouvelle baisse de prix grâce à un code valable uniquement jusqu’à lundi 19 janvier. Il vous permet d’obtenir…
-
Crise de la mémoire : il n’y a pas que les SSD, même le prix des disques durs est en train d’exploser
La pénurie de puces mémoire a fait exploser le prix de la RAM et des SSD. Mais les disques durs traditionnels sont aussi touchés par la forte demande en stockage. Le prix des composants informatiques ne cesse d’augmenter depuis quelques…
-
On sait enfin combien d’oxygène contient Jupiter : la géante devient la capsule temporelle du système solaire
L’un des mystères jusque-là insaisissables de Jupiter vient d’être résolu. Cette découverte apporte des indices clés sur l’histoire de la formation de la géante gazeuse et des autres planètes du système solaire, mais également sur leur évolution. L’Univers fascine, tant…
-
Les dark factories menacent des milliers d’emplois dans l’industrie automobile
Les dark factories ne sont plus de la science-fiction. Ces usines entièrement automatisées pourraient produire des voitures sans aucune présence humaine. L’industrie automobile se prépare à un bouleversement majeur pour l’emploi. L’automatisation progresse dans tous les secteurs de l’industrie. Xiaomi,…
-
France Télévisions lance sa nouvelle chaîne sport 24h/24 pour les JO d’hiver
France Télévisions détaille le fonctionnement et les contenus qu’on pourra voir sur la nouvelle chaîne francetv sports. France Télévisions annonce la date de lancement de sa nouvelle chaîne numérique entièrement dédiée au sport. Elle fera ses débuts à partir du…
-
Le service client de Samsung nous réserve parfois de belles surprises, cet heureux acheteur peut en témoigner
Un client qui avait acheté un SSD Samsung a réussi à obtenir un remboursement d’un montant supérieur au prix d’achat. Sur Reddit, on peut trouver d’innombrables sujets de discussion concernant la piètre qualité du service client de Samsung. La marque…
-
Google Keep : cette fonction phare bascule vers Tasks, voici ce qui change pour vous
Malgré les rumeurs, Google Keep n’a pas disparu. En revanche, la firme de Mountain View tient sa promesse d’intégration plus poussée de l’application dans son écosystème : la migration d’une fonction phare de Keep vers Tasks s’accélère. « Google Keep va…
-
Le air fryer Ninja Foodi FLEX 7-en-1 de 10,4 L passe à prix mini avec ce code, c’est une affaire !
Habituellement en vente à 269,99 €, le air fryer Ninja Foodi FLEX avec un séparer amovible est affiché à prix cassé pour les soldes. Et avec le code PANINJA10, vous obtenez une réduction finale de 90 €. C’est un excellent…
