Gootloader-Malware nutzt manipulierte ZIP-Dateien für Angriffe

Eine neue Angriffswelle der Schadsoftware Gootloader umgeht Sicherheitsscanner mit raffiniert manipulierten ZIP-Archiven. Die Methode zeigt, wie Cyberkriminelle ihre Techniken ständig verfeinern.

Die als Gootloader bekannte Malware, ein gefürchtetes Einfallstor für Ransomware-Angriffe auf Unternehmen, hat ihre Tarnung perfektioniert. Sicherheitsforscher des Unternehmens Expel berichten in einer aktuellen Analyse von einer neuen Kampagne, die seit November 2025 aktiv ist. Der Clou: Die Angreifer verwenden speziell präparierte und aneinandergereihte ZIP-Dateien, die von vielen Sicherheitstools nicht erkannt werden – für Windows-Nutzer aber problemlos zu öffnen sind.

Die technische Raffinesse der neuen Methode liegt im Aufbau der Archivdateien. Statt eines standardmäßigen ZIP-Containers laden die Opfer eine Datei herunter, die aus 500 bis 1.000 identischen, aneinandergereihten ZIP-Archiven besteht. Da ZIP-Dateien vom Ende her gelesen werden, ignoriert der Windows-eigene Entpacker die Hunderte fehlerhaften Vorgänger und verarbeitet nur das letzte, intakte Archiv.

Cyberkriminelle verfeinern ständig ihre Methoden — manipulier­te ZIP‑Archive und SEO‑Poisoning wie im aktuellen Gootloader-Fall umgehen klassische Scanner. Unser kostenloser Report „Cyber Security Awareness Trends“ erklärt, wie Angreifer arbeiten, welche Sofortmaßnahmen IT‑Teams umsetzen sollten und wie Sie Mitarbeiter effektiv sensibilisieren. Enthalten sind konkrete Checklisten für Prozessüberwachung, Anti‑Phishing‑Maßnahmen und Prioritäten für Sicherheitsregeln. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Doch damit nicht genug. Die Angreifer manipulieren die Dateistruktur gezielt, um Analysetools zu verwirren:
* Abgeschnittene Verzeichniseinträge: Zwei essentielle Bytes im zentralen Verzeichnis werden entfernt, was spezialisierte Tools wie 7-Zip oder WinRAR scheitern lässt.
* Randomisierte Metadaten: Nicht-kritische Felder in den Datei-Headern werden mit Zufallswerten gefüllt.
* Widersprüchliche Header-Informationen: Dateinamen und Prüfsummen in verschiedenen Teilen der Datei stimmen nicht überein.

Die Infektion beginnt klassisch per SEO-Poisoning. Angreifer kompromittieren legitime WordPress-Websites und platzieren dort Keywords zu Geschäftsverträgen oder Steuerformularen. Wer danach sucht, landet auf den präparierten Seiten und lädt vermeintlich harmlose Dokumente herunter – in Wirklichkeit das schadhafte Archiv.

Einfallstor für folgenschwere Ransomware-Angriffe

Die eigentliche Gefahr von Gootloader liegt in seiner Rolle als Initial Access Broker. Die Malware richtet keinen direkten Schaden an, sondern bahnt anderen Cyberkriminellen den Weg ins Netzwerk. Dieser Zugang wird oft an Gruppen verkauft, die dann Ransomware wie REvil, SunCrypt oder aktuell Rhysida einschleusen.

Die aktuelle Kampagne wird der Bedrohungsgruppe „Vanilla Tempest“ zugeschrieben. Historisch betrachtet war Gootloader schon immer für einen signifikanten Teil der Malware-Infektionen verantwortlich, die Unternehmenssicherheitslösungen umgehen konnten. Die neue ZIP-Technik unterstreicht diese gefährliche Effektivität.

Wie sich Unternehmen schützen können

Die Entwicklung zeigt einen klaren Trend: Angreifer innovieren, um moderne Sicherheitsvorkehrungen zu umgehen. Als Reaktion empfehlen Experten eine mehrschichtige Verteidigungsstrategie.

Eine einfache, aber wirksame Sofortmaßnahme ist die Änderung der Standardzuordnung für JScript-Dateien (.js). Statt des Windows Script Hosts (wscript.exe) sollte ein Texteditor wie Notepad als Standardprogramm festgelegt werden. So kann ein schadhafter Script nicht mehr automatisch ausgeführt werden.

Weitere empfohlene Schutzmaßnahmen sind:
* Überwachung von Prozessketten: Auffällige Abfolgen wie wscript.exe, das aus einem Temp-Ordner ein Skript startet, welches wiederum PowerShell-Prozesse auslöst, sollten alarmieren.
* Einsatz spezieller Erkennungsregeln: Forscher haben YARA-Regeln entwickelt, die die strukturellen Anomalien der Gootloader-ZIPs, wie die Hunderte wiederholten Datei-Header, erkennen können.
* Sensibilisierung der Mitarbeiter: Da der Infektionsweg über manipulierte Suchergebnisse beginnt, ist kontinuierliche Schulung zur Vorsicht beim Herunterladen von Dateien unerlässlich.

Die Gootloader-Kampagne ist eine deutliche Erinnerung: Selbst bekannte Malware-Bedrohungen entwickeln ständig neue, hochwirksame Tricks. Für die Unternehmenssicherheit wird die Fähigkeit, Verhaltensanomalien und ungewöhnliche Dateistrukturen zu erkennen, immer wichtiger.

PS: Wenn Sie vermeiden wollen, dass ein Initial Access Broker wie Gootloader Ihr Netzwerk öffnet, hilft oft die richtige Awareness statt teurer Tools. Der kostenlose Leitfaden zeigt praxisnahe Schutzmaßnahmen, einfache Regeln für den E‑Mail‑ und Download‑Umgang und sofort anwendbare Schritte für kleinere IT‑Abteilungen. Ideal für Entscheider, die Sicherheit ohne hohe Zusatzkosten verbessern wollen. Jetzt kostenlosen Cyber‑Security‑Guide anfordern