Mã độc tống tiền OysterLoader: Mối nguy hiểm cực kỳ tinh vi

OysterLoader đã nổi lên như một mối đe dọa đáng kể trong bối cảnh an ninh mạng. Đây là một mã độc loader tinh vi, sử dụng nhiều lớp che giấu để tránh bị phát hiện và triển khai các payload nguy hiểm.

Lần đầu tiên được Rapid7 xác định vào tháng 6 năm 2024, mã độc C++ này được phân phối chủ yếu thông qua các trang web giả mạo. Chúng thường mạo danh các ứng dụng phần mềm hợp pháp như PuTTy, WinSCP, Google Authenticator và nhiều công cụ AI khác.

Tổng quan về OysterLoader và Các chiến dịch liên quan

Kỹ thuật phân phối ban đầu

Mã độc OysterLoader ngụy trang dưới dạng các tệp Microsoft Installer (MSI), thường được ký số để trông có vẻ hợp pháp. Điều này khiến nó đặc biệt khó bị phát hiện bởi những người dùng không cảnh giác.

Quá trình hoạt động của OysterLoader thông qua một chuỗi lây nhiễm phức tạp gồm bốn giai đoạn. Chuỗi này bắt đầu bằng TextShell packer, tiếp tục với việc thực thi shellcode tùy chỉnh, và cuối cùng là triển khai payload độc hại cốt lõi.

Mối liên hệ với các mối đe dọa khác

Loader này chủ yếu liên quan đến các chiến dịch mã độc tống tiền Rhysida. Tuy nhiên, các nhà nghiên cứu bảo mật cũng đã quan sát thấy nó phân phối các mã độc thông thường như Vidar, một trong những infostealer phổ biến nhất tính đến tháng 1 năm 2026.

Mối liên hệ với nhóm ransomware Rhysida, vốn có liên hệ chặt chẽ với tập đoàn tác nhân đe dọa WIZARD SPIDER, nhấn mạnh mức độ nghiêm trọng của mối đe dọa này.

Chuỗi lây nhiễm phức tạp của OysterLoader

Các giai đoạn lây nhiễm chính

Các nhà phân tích của Sekoia đã xác định rằng OysterLoader duy trì một cơ sở hạ tầng chỉ huy và kiểm soát (C2) hai cấp. Các máy chủ phân phối xử lý các kết nối ban đầu, trong khi các máy chủ C2 cuối cùng quản lý tương tác với nạn nhân.

Quá trình lây nhiễm của mã độc này thể hiện sự tinh vi kỹ thuật đáng kể. Đặc biệt ở cách nó che giấu và triển khai các thành phần độc hại của mình.

Cơ chế Command and Control (C2)

Sau khi kiểm tra môi trường ban đầu, xác minh rằng hệ thống bị lây nhiễm có ít nhất 60 tiến trình đang chạy. Mã độc sẽ thiết lập liên lạc với các máy chủ chỉ huy và kiểm soát qua HTTPS.

Trong giai đoạn này, nó sử dụng kỹ thuật steganography để ẩn payload giai đoạn tiếp theo bên trong các tệp hình ảnh biểu tượng. Kỹ thuật này ngụy trang mã độc hại thành nội dung hình ảnh hợp pháp.

Kỹ thuật lẩn tránh và chống phân tích nâng cao

Khả năng chống phân tích động

OysterLoader thể hiện khả năng chống phân tích nâng cao, bao gồm API hammering và giải quyết API động thông qua các thuật toán băm tùy chỉnh. Ngoài ra, nó còn sử dụng cơ chế phát hiện sandbox dựa trên thời gian.

Các nhà phát triển của mã độc này đã liên tục cải tiến mã nguồn, cập nhật các giao thức giao tiếp và kỹ thuật che giấu để duy trì hiệu quả. Đặc biệt là chống lại các giải pháp bảo mật mạng.

Che giấu Payload thông qua Steganography

Mã độc sử dụng mã hóa RC4 với một khóa cứng để bảo vệ payload được nhúng bên trong các tệp hình ảnh này. Payload này được ẩn sau một mẫu đánh dấu cụ thể có nhãn “endico”.

Kỹ thuật che giấu này làm cho việc phát hiện xâm nhập thông qua các công cụ bảo mật thông thường trở nên cực kỳ khó khăn. Điều này đặc biệt đúng khi các công cụ không được thiết kế để phân tích steganography.

Khi được giải mã, payload được ghi dưới dạng tệp DLL vào thư mục AppData của người dùng. Sau đó, nó được thực thi thông qua các tác vụ đã lên lịch chạy mỗi 13 phút. Điều này đảm bảo quyền truy cập liên tục vào các hệ thống bị xâm nhập.

Giao tiếp C2 được mã hóa và tùy chỉnh

Mã độc giao tiếp bằng cách sử dụng mã hóa JSON tùy chỉnh với bảng chữ cái Base64 không chuẩn và các giá trị dịch chuyển ngẫu nhiên. Điều này làm cho việc phân tích lưu lượng mạng trở nên đặc biệt khó khăn đối với các đội ngũ an ninh giám sát môi trường bị lây nhiễm.

Sự phức tạp trong giao thức C2 của OysterLoader đòi hỏi các kỹ thuật phân tích chuyên sâu để có thể giải mã và hiểu được. Để biết thêm chi tiết về phân tích kỹ thuật của OysterLoader, tham khảo bài viết từ Sekoia: OysterLoader Unmasked: The Multi-Stage Evasion Loader.