Mã độc Gootloader tái xuất: Nguy hiểm tấn công ransomware
Mã độc Gootloader đã tái xuất sau một thời gian ẩn mình, trở lại vào tháng 11 năm 2025 với những khả năng mới được thiết kế để vượt qua các hệ thống bảo mật hiện đại. Sự trở lại này đánh dấu một mối đe dọa nghiêm trọng, đặc biệt khi Gootloader đóng vai trò là một nhà môi giới truy cập ban đầu cho các cuộc tấn công ransomware quy mô lớn.
Sự Tái Xuất và Vai Trò của Mã Độc Gootloader
Mã độc Gootloader không hoạt động độc lập mà giữ vai trò then chốt trong chuỗi lây nhiễm phức tạp. Nó tạo ra điểm truy cập ban đầu cho các cuộc tấn công, sau đó bàn giao quyền kiểm soát cho các tác nhân đe dọa khác để triển khai các công cụ mã hóa thực sự. Điều này khiến việc theo dõi và phòng chống trở nên khó khăn hơn.
Hiệu quả của mã độc này nằm ở khả năng lẩn tránh phát hiện trong khi vẫn duy trì chức năng đầy đủ trên các hệ thống bị xâm nhập. Các tổ chức trên toàn thế giới đang nỗ lực phòng thủ khi nhóm tác nhân đe dọa được biết đến là Vanilla Tempest tiếp tục tận dụng nó kết hợp với các chiến dịch tấn công ransomware Rhysida.
Kỹ Thuật Lẩn Tránh Tinh Vi của Gootloader
Một trong những đặc điểm nổi bật nhất của mã độc Gootloader là kỹ thuật lẩn tránh phát hiện tinh vi, đặc biệt thông qua việc sử dụng các tệp tin nén ZIP được thiết kế đặc biệt.
Tệp ZIP Biến Dạng Đặc Biệt
Mã độc này được phát tán qua các trang web bị xâm nhập, nhúng trong các kho lưu trữ ZIP giả mạo. Những tệp ZIP này được tạo ra một cách cố ý để gây nhầm lẫn cho các công cụ bảo mật. Khi người dùng tải xuống một tài liệu có vẻ hợp pháp, họ thực chất nhận được một tệp chứa hàng trăm kho lưu trữ ZIP được ghép nối (concatenated ZIP archives).
Cấu trúc đóng gói bên ngoài được chế tạo sao cho hầu hết các công cụ giải nén thông thường như 7zip và WinRAR không thể trích xuất nội dung. Tuy nhiên, trình giải nén mặc định của Windows lại có thể mở tệp này một cách đáng tin cậy. Điều này đảm bảo nạn nhân có thể thực thi payload trong khi các nhà bảo mật gặp khó khăn trong việc phân tích. Các nhà phân tích của Expel đã lưu ý rằng các kho lưu trữ ZIP của Gootloader chứa nhiều tính năng lẩn tránh tinh vi hoạt động song song. Chi tiết có thể tham khảo tại: Expel – Gootloader’s Malformed ZIPs.
Cấu Trúc Đa Tầng và Hashbusting
Cấu trúc của các tệp ZIP bao gồm hàng trăm bản sao được nối với nhau, với các giá trị được tạo ngẫu nhiên trong các trường quan trọng và các phần bị cắt bớt một cách có chủ đích. Điều này gây ra lỗi phân tích trong các trình quét bảo mật truyền thống, khiến chúng không thể hiểu hoặc xử lý tệp tin.
Ngoài ra, mã độc Gootloader sử dụng một kỹ thuật gọi là hashbusting, trong đó mỗi tệp được tải xuống đều có các đặc điểm riêng biệt. Mỗi nạn nhân nhận được một cấu trúc kho lưu trữ hoàn toàn khác với các giá trị trường được ngẫu nhiên hóa, làm cho việc phát hiện dựa trên chữ ký (signature-based detection) gần như không thể.
Các tổ chức không thể dựa vào hash tệp hoặc các mẫu tĩnh để xác định các mẫu này trên mạng của mình. Kỹ thuật này gia tăng đáng kể khả năng lẩn tránh và khiến mối đe dọa mạng trở nên khó kiểm soát hơn.
Cơ Chế Lây Nhiễm và Thiết Lập Duy Trì Truy Cập
Sau khi tệp ZIP độc hại được mở, một tệp JScript được nhúng bên trong sẽ tự động thực thi khi được nhấp đúp.
Kịch Bản JScript và Windows Script Host
Kịch bản này chạy thông qua Windows Script Host và ngay lập tức thiết lập khả năng duy trì truy cập (persistence) bằng cách tạo các tệp liên kết (link files) trong thư mục Startup của người dùng. Các liên kết này trỏ đến một tệp JScript thứ hai được lưu trữ trong một thư mục ngẫu nhiên, đảm bảo mã độc Gootloader sẽ kích hoạt lại với mỗi lần khởi động lại hệ thống.
PowerShell Che Giấu và Tải Payload Phụ
Tiếp theo, JScript sẽ khởi chạy PowerShell với các lệnh được mã hóa (obfuscated) nặng nề. Các lệnh này giao tiếp với cơ sở hạ tầng của kẻ tấn công (C2 server) để tải xuống các payload thứ cấp. Việc sử dụng PowerShell được che giấu giúp kẻ tấn công thực thi mã độc mà không bị phát hiện bởi các công cụ giám sát thông thường.
Các payload phụ này thường bao gồm các công cụ cuối cùng cho cuộc tấn công ransomware, hoặc các công cụ để thực hiện các hành động khác như leo thang đặc quyền hay thu thập thông tin.
Các Biện Pháp Phòng Ngừa và Phát Hiện Mã Độc
Để chống lại các cuộc tấn công ransomware sử dụng mã độc Gootloader, các đội ngũ an ninh cần triển khai nhiều lớp bảo vệ và chiến lược phát hiện.
Giảm Thiểu Rủi Ro Từ JScript và PowerShell
Các đội bảo mật nên ưu tiên ngăn chặn thực thi JScript thông qua Group Policy Objects (GPO). Một phương pháp hiệu quả là liên kết lại các tệp .js với Notepad thay vì Windows Script Host. Thao tác này sẽ yêu cầu người dùng mở tệp JScript bằng Notepad, từ đó ngăn chặn việc thực thi mã độc tự động.
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.js\OpenWithList" -Name "a" -Value "notepad.exe"Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.js\OpenWithProgids" -Name "notepad.exe" -Value "" -ForceNgoài ra, việc giám sát các chuỗi tiến trình PowerShell đáng ngờ là rất quan trọng. Các lệnh PowerShell thường được sử dụng để tải xuống và thực thi các payload. Bất kỳ lệnh PowerShell nào được mã hóa phức tạp hoặc khởi chạy từ các tiến trình không mong muốn cần được điều tra ngay lập tức.
Phát Hiện Tệp Tin Độc Hại và Hành Vi Nghi Ngờ
Các biện pháp bảo vệ bổ sung bao gồm phát hiện việc sử dụng NTFS shortname trong quá trình thực thi script. Đây là một kỹ thuật lẩn tránh khác mà mã độc có thể sử dụng. Cuối cùng, việc quét các cấu trúc ZIP bị biến dạng bằng các quy tắc YARA chuyên biệt có thể giúp phát hiện sớm các tệp độc hại trước khi chúng có thể lây nhiễm vào hệ thống.
Ví dụ quy tắc YARA đơn giản (cần được tùy chỉnh dựa trên mẫu cụ thể):
rule Gootloader_Malformed_ZIP { strings: $magic = { 50 4B 03 04 } $corrupt_header = { 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 } condition: $magic at 0 and ($corrupt_header in (0..1000) or filesize > 100MB)}Việc phát hiện sớm ở giai đoạn phân phối tệp ZIP mang lại cơ hội tốt nhất để ngăn chặn việc triển khai ransomware, trước khi kẻ tấn công có được quyền truy cập sâu hơn vào hệ thống. Chiến lược phòng thủ chủ động và liên tục nâng cao nhận thức về các kỹ thuật lẩn tránh mới là chìa khóa để bảo vệ hệ thống khỏi các mối đe dọa dai dẳng như mã độc Gootloader.
