ZIP dosyalarının içinde gizlenen Gootloader zararlısı, antivirus çözümlerinin dikkatini aşarak cihazlarımızı enfekte etmeyi başarıyor.

Gootloader, kullanıcıların cihazlarını fidye yazılımlarıyla enfekte etmeyi amaçlayan bir zararlı yazılım ailesidir. Bu tür programlar, verileri çalar veya makineye erişimi engeller ve mağdurlar, cihazlarına erişimi geri kazanmak veya kişisel bilgilerin karanlık webde satılmasını önlemek istediklerinde ödeme yapmak zorundadır.

Gootloader, birkaç yıldır bilinmektedir, ancak Kasım 2025'te dikkat çekici bir şekilde yeniden ortaya çıktı ve antiviruslerin onu tespit etmesini engelleyen başka bir biçimde karşımıza çıkıyor. Siber güvenlik uzmanları, Expel tarafından konunun üzerine eğilerek, Gootloader'ın nasıl çalıştığını anlamaya çalıştılar ve farklı güvenlik çözümlerinin radarından nasıl kaçtığını buldular.

Hackerların ZIP Formatındaki Özelliği Kullanması

Gootloader'ın arkasındaki hacker grubunun, Rhysida fidye yazılımının yaratıcısı olan başka bir kötü niyetli aktör olan Vanilla Tempest ile işbirliği yaptığı görünmektedir. Zararlının dağıtım yöntemi ZIP dosyası ile gerçekleştiriliyor ve bu, tespitten kaçmak için kritik bir rol oynuyor. “Gootloader kampanyalarında kullanılan ZIP arşivi kasıtlı olarak bozulmuştur. 7-Zip ve WinRAR gibi çoğu sıkıştırma yazılımı, içeriğini doğru bir şekilde analiz edemez veya çıkaramaz. Ancak, Windows'un yerleşik ZIP yöneticisi bunu sorunsuz bir şekilde açar ve böylece hedeflerin entegre JScript dosyasını çalıştırmalarına olanak tanır,” diyor Expel.

Bu ZIP arşivlerinin tersine mühendislik analizi, bunun tek bir sıkıştırılmış dosya olmadığını, 500 ile 1.000 arasında değişen sayıda ZIP dosyasından oluşan bir zincir olduğunu ortaya koyuyor. Bu dosyalar, her kurban için rastgele meta veri alanları kullanılarak değiştirilmiş olup, tehditin antivirusler tarafından tanımlanmasını daha da zorlaştırıyor. Bu teknik ZIP formatının çalışma şekline dayanıyor, çünkü ZIP dosyası sonundan okunuyor ve önceki parazit verilerine rağmen son yapı geçerli kalıyor.

Antimalware çözümlerini daha da bozmak için, merkezi dizginin sonu kasıtlı olarak kesilmiş ve kritik olmayan alanlar, disk numarası gibi, rastgeleleştirilmiştir. Uyarıldınız: bir ZIP dosyasını açmadan önce dikkatli olun.