Comment le malware Gootloader exploite le format ZIP pour tromper les antivirus
Caché dans des dossiers ZIP, le malware Gootloader parvient à tromper la vigilance des solutions antivirus pour infecter nos appareils.
Gootloader est une famille de logiciels malveillants dont le but principal est d'infecter les appareils des utilisateurs avec des ransomwares. Ce type de programme vole des données ou bloque l'accès à la machine, et les victimes doivent passer à la caisse si elles souhaitent récupérer l'accès à leur dispositif ou éviter que leurs informations personnelles ne soient revendues sur le dark web.
Gootloader est connu depuis plusieurs années déjà, mais il a effectué une réapparition remarquée en novembre 2025, sous une autre forme, qui empêche les antivirus de le détecter, et donc de le bloquer avant qu'il puisse agir. Les experts en cybersécurité d'Expel se sont penchés sur le sujet pour comprendre son fonctionnement, et ont trouvé comment Gootloader passe sous les radars des différentes solutions de sécurité.
Une particularité du format ZIP exploitée par les pirates
Il semblerait que le groupe de pirates à l'origine de Gootloader collabore avec un autre acteur malveillant, Vanilla Tempest, auteur du ransomware Rhysida. La méthode de distribution du malware s'effectue par fichier ZIP, ce qui joue un rôle crucial pour échapper à la détection. “L'archive ZIP utilisée dans les campagnes Gootloader actuelles est volontairement corrompue. La plupart des logiciels de décompression, comme 7-Zip et WinRAR, ne parviennent pas à analyser ou extraire correctement son contenu. Cependant, le gestionnaire ZIP intégré à Windows l'ouvre sans problème, permettant ainsi aux cibles d'exécuter le fichier JScript intégré”, explique Expel.
L'analyse par rétro-ingénierie de ces archives ZIP révèle qu'il ne s'agit pas d'un fichier compressé unique, mais d'une chaîne de centaines de fichiers ZIP, dont le nombre varie entre 500 et 1 000. Ces fichiers sont modifiés pour chaque victime à l'aide de champs de métadonnées aléatoires, rendant la menace plus difficile à identifier par les antivirus. Cette technique exploite la manière de fonctionner du format ZIP, qui est lu à partir de la fin et dont la dernière structure ZIP reste valide malgré les données parasites précédentes.
Pour terminer de perturber les solutions antimalware, la fin du répertoire central est délibérément tronquée, et les champs non critiques, comme le numéro de disque, sont randomisés. Vous êtes prévenus : prenez garde avant d'ouvrir un fichier ZIP.
