GootLoader ressurge. Desde o final de outubro de 2025, os cibercriminosos têm explorado massivamente sites WordPress que contêm malware para capturar usuários da Internet. Por trás de um simples arquivo ZIP, GootLoader pode instalar discretamente ransomware e outros malwares em seu computador.
Goot Loaderum temível malware capaz de instalar outros softwares maliciosos em um computador, está de volta aos holofotes. Os pesquisadores da Huntress detectaram vestígios do vírus em ataques registrados desde o final de outubro de 2025. Os ataques cibernéticos visam hackear usuários da Internet que visitam sites WordPress já comprometidos.
Primeiro, os cibercriminosos comprometem um site, principalmente explorando uma vulnerabilidade ou usando credenciais roubadas. No site eles injetar um script malicioso projetado para distribuir malware GootLoader.
Concretamente, aparecerá um comentário ou janela no site. Isso oferecerá o download um arquivo ZIPdeveria conter um documento procurado pelo internauta, como um tutorial em PDF ou um modelo em Excel. Sem perceber que está caindo em uma armadilha, o internauta baixará esse arquivo ZIP para o seu computador.
Leia também: Alerta do Windows – uma falha crítica do kernel está sendo ativamente explorada por hackers
Arquivos ZIP disfarçados
No site comprometido, o arquivo ZIP tem um nome tranquilizador, como “Guide_financier_complet_2025.pdf”. Porém, uma vez baixado para o computador, o arquivo não possui um nome legível. Em vez disso, uma sucessão de caracteres (“μI€vSO₽*’Oaμ==—) aparece na tela. Para que o arquivo fique legível no site, e não desperte preocupação entre os alvos, os hackers utilizam uma fonte personalizadae, injetado na página, que converte os símbolos na tela para exibir um nome confiável.
Uma vez no computador, o usuário baixa o arquivo ZIP e pode abri-lo. Dependendo do aplicativo usado para abrir, o arquivo malicioso interno se parece com um arquivo de texto simples ou PDF. No entanto, este é um script malicioso. Se o usuário clicar e iniciar o arquivo sem escolher um aplicativo desenvolvido para abrir arquivos de texto, o script ativará o Gootloader.
Este vírus faz parte da categoria de carregadores, malware leve cuja principal função é carregar e executar outros malwares mais complexos. Portanto, ele baixará vírus adicionais e instalará um backdoor para manter o acesso persistente. O malware é notavelmente programado para instalar ransomwareroubar dados ou mover-se lateralmente pela rede em busca de outros servidores que contenham informações confidenciais. Esta é a porta aberta a todos os abusos.
Por trás dos ataques baseados no Gootloader, existe uma conhecida gangue de hackers sob o nome Hive0127. Os cibercriminosos são especializados em ataques que utilizam sites comprometidos, promovidos por meio de anúncios fraudulentos do Google. Outros pequenos grupos de hackers também são conhecidos por realizar ataques Gootloader. É o caso da gangue Vanilla Tempest, que utiliza o vírus principalmente em campanhas de extorsão. Gootloader é uma das ferramentas mais difundidas no arsenal dos cibercriminosos ransomware.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google News, assine nosso canal no WhatsApp ou siga-nos em vídeo no TikTok.
Fonte :
Caçadora