Os operadores do malware GOOTLOADER, estão atualizando ativamente o seu conjunto de ferramentas. As atualizações recentes incluem alterações na cadeia de infecção, distribuição de novas cargas úteis após a infecção, recursos furtivos aprimorados e integração de novos componentes.

A nova variante foi identificada em novembro do ano passado, usando uma nova cadeia de infecção, rastreada como GOOTLOADER.POWERSHELL. Esta variante segue uma cadeia de ataque típica.

Quando qualquer usuário visita um site comprometido, um arquivo ZIP malicioso é baixado no dispositivo, contendo um arquivo .JS.

Quando esse arquivo JavaScript é iniciado, ele cria um arquivo inflado com extensão .LOG, com muitos códigos indesejados para fins de ofuscação. Eventualmente, isso é renomeado com uma extensão .JS.

As táticas de ofuscação usadas na variante do malware são mais complexas do que as variantes anteriores, pois o código malicioso está aninhado em todo o arquivo.