GootLoader refait surface. Depuis fin octobre 2025, les cybercriminels exploitent massivement des sites WordPress renfermant le malware pour piéger les internautes. Derrière une simple archive ZIP, GootLoader peut installer, en toute discrétion, des ransomwares et d’autres logiciels malveillants sur votre ordinateur.
GootLoader, un redoutable malware capable d’installer d’autres logiciels malveillants sur un ordinateur, est de retour sur le devant de la scène. Les chercheurs d’Huntress ont repéré la trace du virus dans des attaques recensées depuis la fin du mois d’octobre 2025. Les cyberattaques visent à pirater les internautes qui consultent des sites WordPress déjà compromis.
Dans un premier temps, les cybercriminels compromettent donc un site web, notamment en exploitant une vulnérabilité ou en se servant d’identifiants volés. Sur le site, ils injectent un script malveillant taillé pour diffuser le malware GootLoader.
Concrètement, un commentaire ou une fenêtre va apparaître sur le site. Celui-ci va proposer de télécharger une archive ZIP, censée contenir un document recherché par l’internaute, comme un tutoriel en PDF ou un modèle sur Excel. Sans se douter qu’il tombe dans un piège, l’internaute va télécharger ce fichier ZIP sur son ordinateur.
À lire aussi : Alerte sur Windows – une faille critique du noyau est activement exploitée par des pirates
Des fichiers ZIP déguisés
Sur le site compromis, le fichier ZIP comporte un nom rassurant, comme « Guide_financier_complet_2025.pdf ». Mais, une fois téléchargé sur l’ordinateur, le fichier n’a pas de nom lisible. À la place, une succession de caractères (“μI€vSO₽*’Oaμ==€”) apparaît à l’écran. Pour que le fichier soit lisible sur le site, et n’éveille pas l’inquiétude des cibles, les pirates utilisent une police de caractères personnalisée, injectée dans la page, qui convertit les symboles à l’écran pour afficher un nom crédible.
Une fois sur l’ordinateur, l’utilisateur télécharge l’archive ZIP et peut l’ouvrir. Selon l’application utilisée pour l’ouverture, le fichier malveillant à l’intérieur ressemble à un banal fichier texte ou un PDF. Il s’agit pourtant un script malveillant. Si l’utilisateur clique et lance le fichier sans choisir une application taillée pour l’ouverture de fichiers textes, le script va activer Gootloader.
Ce virus fait partie de la catégorie des loaders, des logiciels malveillants légers dont la fonction principale est de charger et d’exécuter d’autres malwares plus complexes. Il va donc télécharger des virus supplémentaires et installer une porte dérobée pour conserver un accès persistant. Le maliciel est notamment programmé pour installer un ransomware, voler des données, ou se déplacer latéralement sur le réseau à la recherche d’autres serveurs contenant des informations sensibles. C’est la porte ouverte à tous les abus.
Derrière les attaques reposant sur Gootloader, on trouve un gang de pirates connu sous le nom de Hive0127. Les cybercriminels sont spécialisés dans les attaques qui utilisent des sites web compromis, mis en avant par le biais de publicités frauduleuses sur Google. D’autres groupuscules pirates sont aussi connus pour mener des attaques avec Gootloader. C’est le cas du gang Vanilla Tempest, qui se sert surtout du virus dans des campagnes d’extorsion. Gootloader fait partie des outils les plus répandus de l’arsenal des cybercriminels du milieu du ransomware.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.
Source :
Huntress