GETOVERX FORUM Community Support   ›   Malware Docs   ›   Fileless Malware   ›   GootLoader (2020–2025)

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
GootLoader (2020–2025)
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 04:20 PM (This post was last modified: 12-07-2025, 05:04 PM by mrwebfeeder.)
Nombre: GootLoader

Categoría: Loader / Fileless basado en JavaScript
(ej.: Ransomware, Infostealer, Troyano bancario, RAT, Loader/Downloader, etc.)

Fecha de descubrimiento: En torno a 2020 (campañas activas 2020–2025)

Comportamiento (lo que hace y archivos que infecta):
- Cadena de ataque avanzada que combina SEO poisoning y un loader fileless en JavaScript.
- SEO poisoning:
  - Los operadores posicionan sitios maliciosos en motores de búsqueda usando SEO:
    - Páginas que se presentan como foros, blogs o repositorios de “documentos” (contratos, plantillas legales, manuales, etc.).
    - Cuando la víctima busca un tema específico, hace clic en los primeros resultados y descarga un ZIP o JS malicioso creyendo que es un documento legítimo.
- JS fileless loader:
  - El usuario ejecuta un script .js (a menudo desde un ZIP) que:
    - Se ejecuta mediante Windows Script Host (
Code:
wscript.exe
/
Code:
cscript.exe
).
    - Descarga y ejecuta payloads adicionales, normalmente usando PowerShell y otras LOLBins.
  - La carga útil suele ejecutarse en memoria (modelo casi fileless):
    - Puede desplegar Cobalt Strike, troyanos de acceso inicial, cifradores de ransomware u otros malware.
- “Archivos que infecta”:
  - No infecta ejecutables PE como un virus tradicional.
  - Se centra en:
    - Scripts JS descargados y ejecutados por el usuario.
    - Ficheros temporales y posibles scripts adicionales en AppData/Temp.
  - En muchos casos los “documentos” descargados son en realidad:
    - ZIP con un único JS.
    - Scripts con nombres que simulan documentos (p.ej. “Contrato2024.js”).

Persistencia:
- Describe cómo se mantiene en el sistema:
  - Persistencia mediante scripts y Registro:
    - Copias del JS o scripts derivados en:
      -
Code:
%AppData%
,
Code:
%LocalAppData%
u otras carpetas de usuario.
    - Creación de claves de inicio automático:
      -
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
      -
Code:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      - Apuntando a
Code:
wscript.exe
/
Code:
cscript.exe
con el script JS.
  - Cadenas WScript/PowerShell:
    - El JS llama a
Code:
wscript.exe
que a su vez lanza
Code:
powershell.exe
con comandos ofuscados.
    - Puede usar
Code:
-EncodedCommand
,
Code:
iex
, descarga remota de payloads y ejecución en memoria.
  - Tareas programadas:
    - Configura tareas para relanzar periódicamente la cadena WScript/PowerShell o reinyectar el loader si es eliminado.
  - El objetivo de la persistencia es mantener:
    - Un canal estable para descargar y ejecutar payloads posteriores (ransomware, herramientas de acceso remoto, etc.).

Hash real de referencia (SHA-256):
- Añade un hash SHA-256 real de una muestra pública conocida del malware.
- Ejemplo de formato:
 
Code:
SHA256: 4eb2684062f533d373ef7c8d651bc4dd3df7e2d3725e2b4d88ad63a80df9e235

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Explica cómo usar el motor AV para detectar y eliminar el ejecutable principal y sus droppers.
    - Ejecutar escaneos completos en:
      - Carpetas de Descargas, Escritorio, Documentos y Temp.
      - Directorios donde se guardan archivos ZIP y scripts recibidos desde la web.
    - Detectar y poner en cuarentena:
      - Scripts
    Code:
    .js
    maliciosos relacionados con GootLoader.
      - ZIP y empaquetados que contengan un único JS script sospechoso.
    - Mantener firmas y reglas YARA enfocadas a:
      - Cadenas típicas de GootLoader en JS.
      - Artefactos asociados a sus droppers.

  • Firewall:
    Indica qué tipo de tráfico debe bloquearse (C2, dominios sospechosos, puertos, etc.) y si es recomendable aislar el host.
    - Monitorear tráfico saliente generado por:
      -
    Code:
    wscript.exe
    ,
    Code:
    cscript.exe
    ,
    Code:
    powershell.exe
    .
    - Bloquear:
      - Conexiones hacia dominios/IPs identificados como alojamiento de payloads de GootLoader.
      - URLs poco habituales a las que se conectan scripts recién descargados.
    - Aislar temporalmente:
      - Equipos que muestren ejecución repetida de scripts JS que descargan contenido remoto y que disparen la cadena hacia ransomware.

  • HIPS/EDR:
    Detalla qué comportamiento debe vigilarse:
    - Creación masiva de archivos (ransomware)
    - Acceso masivo a almacenes de credenciales (stealers)
    - Uso anómalo de PowerShell / scripts
    - Movimiento lateral, enumeración de red, etc.
    Incluye si se debe configurar respuesta automática (matar proceso, bloquear hash, etc.).
    - HIPS block WScript/PowerShell chains:
      - Crear reglas que impidan:
        - Que
    Code:
    wscript.exe
    /
    Code:
    cscript.exe
    invoquen
    Code:
    powershell.exe
    salvo en casos muy específicos (lista blanca).
        - Ejecución de PowerShell con parámetros:
          -
    Code:
    -ExecutionPolicy Bypass
          -
    Code:
    -EncodedCommand
          - Descarga y ejecución directa desde URLs (
    Code:
    Invoke-WebRequest
    ,
    Code:
    Invoke-Expression
    ).
    - EDR detect hidden JS execution:
      - Monitorizar:
        - Ejecución de numerosos scripts JS desde carpetas de Descargas/Temp.
        - Lanzamientos de WScript/CScript sin interacción visible del usuario.
      - Respuesta automática:
        - Matar procesos encadenados JS → WScript → PowerShell cuando coincidan con patrones maliciosos.
        - Bloquear hashes de scripts identificados.
        - Registrar ruta, usuario, comandos, IPs destino y tiempos para análisis.

  • Sandbox:
    Explica cuándo es recomendable usar el módulo de Sandbox:
    - Antes de ejecutar adjuntos de correo
    - Antes de instalar software de procedencia dudosa
    - Para analizar muestras sospechosas en un entorno aislado
    - Sandbox “document” downloads before opening:
      - Analizar en Sandbox:
        - Archivos descargados desde resultados de búsqueda (supuestos “contratos”, “plantillas”, “formularios”) que vengan como ZIP o JS.
      - Observar si:
        - El “documento” es en realidad un script que:
          - Llama a WScript/PowerShell.
          - Descarga contenido remoto y ejecuta código en memoria.
        - Se comporta como loader (sin interfaz de usuario real).
      - Si se confirma comportamiento de GootLoader:
        - Bloquear el uso de ese archivo en toda la red.
        - Añadir sus hashes y patrones (nombres, rutas, dominios) a la base de IOC interna.

  • Medidas posteriores al incidente:
    Indica acciones adicionales:
    - Restaurar desde copias de seguridad offline
    - Cambiar contraseñas
    - Revisar accesos a cuentas sensibles (banca, VPN, paneles de hosting)
    - Revisión de herramientas de administración remota abusadas
    - Para GootLoader en concreto:
      - Revisar los equipos donde se ejecutaron los scripts:
        - Verificar si se desplegaron payloads posteriores (Cobalt Strike, ransomware, troyanos).
      - Analizar logs de EDR para:
        - Detección de movimiento lateral o actividades adicionales tras la ejecución del loader.
      - Reforzar la formación de usuarios:
        - Alertar sobre “documentos” descargados desde resultados de Google/Bing que en realidad son scripts.
      - Endurecer políticas:
        - Bloquear por defecto la ejecución de
    Code:
    .js
    desde carpetas de usuario.
        - Restringir WScript/CScript en estaciones donde no sea imprescindible.

Notas opcionales:
- GootLoader es un buen ejemplo de cómo el SEO poisoning puede integrarse con loaders fileless para lanzar ataques complejos, por lo que la detección debe combinar análisis web, de scripts y de comportamiento.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)