Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch Gootloader mã độc trở lại với các kỹ thuật né tránh tinh vi mới. Chiến dịch này khai thác thao tác lưu trữ tệp ZIP để tránh bị phát hiện và phân tích, đại diện cho một mối đe dọa mạng đáng kể.

Nghiên cứu của chuyên gia bảo mật RussianPanda và nhóm tại Huntress đã xác định chiến dịch này đang tích cực nhắm mục tiêu vào các nạn nhân thông qua các trang web bị xâm nhập. Dù đã có những nỗ lực làm gián đoạn trước đó, những kẻ tấn công đằng sau Gootloader đã quay trở lại với các chiến thuật nâng cao, cho thấy sự quyết tâm duy trì hoạt động lâu dài này.

Chiến Dịch Gootloader Mới và Chiến Thuật Social Engineering

Mã độc Gootloader tiếp tục sử dụng các mồi nhử kỹ thuật xã hội xoay quanh thuật ngữ pháp lý. Mục tiêu là lừa người dùng không nghi ngờ tải xuống các payload độc hại, đóng vai trò là vector truy cập ban đầu cho các cuộc tấn công tiếp theo, thường dẫn đến việc triển khai mã độc tống tiền.

Trong hơn năm năm qua, các nhà điều hành Gootloader đã duy trì một phương pháp tấn công nhất quán. Phương pháp này được xây dựng dựa trên các từ khóa theo chủ đề pháp lý, bao gồm “hợp đồng,” “biểu mẫu,” và “thỏa thuận,” thu hút tự nhiên các chuyên gia kinh doanh và nhà nghiên cứu pháp lý.

Mở Rộng Phạm Vi Tấn Công và Hệ Thống Gating

Chiến dịch hiện tại đã mở rộng đáng kể cách tiếp cận này. Hàng ngàn từ khóa tìm kiếm độc đáo được phân phối trên hơn 100 trang web bị xâm nhập để nhắm đến một mạng lưới nạn nhân rộng hơn.

Chuỗi tấn công bắt đầu khi nạn nhân tìm kiếm tài liệu pháp lý hợp pháp và bắt gặp các trang web bị xâm nhập này. Những kẻ tấn công sử dụng một hệ thống gating phức tạp. Hệ thống này xác định nội dung mà các khách truy cập khác nhau nhìn thấy dựa trên nhiều tiêu chí.

• Vị trí địa lý: Xác định quốc gia của người dùng.
• Hệ điều hành: Kiểm tra loại hệ điều hành đang sử dụng.
• Nguồn giới thiệu: Theo dõi nguồn mà người dùng truy cập trang web.
• Thời gian truy cập: Xét thời điểm trong ngày hoặc tuần.

Người dùng không đáp ứng các điều kiện cụ thể, như duyệt web từ một quốc gia nói tiếng Anh trên Windows trong giờ làm việc thông qua giới thiệu từ công cụ tìm kiếm, sẽ thấy nội dung blog vô hại, thường được tạo bằng công cụ trí tuệ nhân tạo.

Giả Mạo Trang Web và Kỹ Thuật Né Tránh Unicode

Tuy nhiên, các nạn nhân phù hợp với hồ sơ mục tiêu sẽ chứng kiến một sự thay đổi trang web đáng kể. Trang web ban đầu vô hại sẽ tự động vẽ lại để bắt chước các trang web tài nguyên pháp lý hợp pháp, đôi khi mạo danh các tổ chức dễ nhận biết.

Một ví dụ đáng chú ý liên quan đến việc tạo ra các trang “Yale Law Journal” giả mạo. Tại đây, những kẻ tấn công sử dụng kỹ thuật thay thế ký tự Unicode, thay thế các ký tự Latin bằng các ký tự Cyrillic giống hệt về mặt hình ảnh, qua đó né tránh các cơ chế phát hiện cơ bản.

Các trang gian lận này hiển thị nhiều tài nguyên có thể tải xuống, bao gồm PDF, tài liệu, video và hình ảnh, xuất hiện phù hợp với truy vấn tìm kiếm ban đầu của nạn nhân.

Thao Túng Tệp ZIP: Kỹ Thuật Né Tránh Gootloader Độc Đáo

Sự phát triển đáng kể nhất trong biến thể Gootloader này liên quan đến một kỹ thuật thao túng tệp ZIP mới lạ. Kỹ thuật này tạo ra các kết quả khác nhau tùy thuộc vào công cụ giải nén được sử dụng.

Khi được xử lý thông qua Windows Explorer (trình quản lý tệp mặc định cho hầu hết nạn nhân), tệp lưu trữ sẽ giải nén chính xác một tệp JScript độc hại với phần mở rộng .JS, đại diện cho payload dự định.

Tệp ZIP có “hai nhân cách” này đóng vai trò như một cơ chế mua thời gian hiệu quả. Nó cho phép các tệp độc hại né tránh các trình quét bảo mật tự động và môi trường phân tích sandbox dựa vào các tiện ích giải nén không phải của Windows.

Khi các nhóm bảo mật xác định được hành vi payload thực tế, mã độc có thể đã thiết lập khả năng duy trì trên hệ thống nạn nhân và bắt đầu các hoạt động giai đoạn tiếp theo của nó.

Tuy nhiên, các nhà nghiên cứu bảo mật phân tích cùng một tệp lưu trữ bằng các công cụ tiêu chuẩn ngành, bao gồm VirusTotal, thư viện zipfile của Python hoặc 7-Zip, sẽ thấy nội dung hoàn toàn khác: các tệp văn bản có vẻ vô hại che giấu bản chất độc hại thực sự của tệp lưu trữ.

Cơ Chế Duy Trì Quyền Truy Cập (Persistence) Mới của Gootloader

Phương pháp duy trì của Gootloader cũng đã trải qua quá trình tinh chỉnh đáng kể. Các biến thể trước đây dựa vào các tác vụ đã lên lịch để đảm bảo payload được thực thi sau khi hệ thống khởi động lại, một kỹ thuật được các giải pháp phát hiện điểm cuối nhận biết rộng rãi.

Phiên bản hiện tại triển khai một cách tiếp cận đa giai đoạn phức tạp hơn. Phương pháp này được thiết kế để làm phức tạp các nỗ lực phân tích pháp y và khắc phục.

Sử Dụng Tệp LNK Phức Tạp để Thiết Lập Duy Trì

Quá trình lây nhiễm hiện nay thả xuống hai tệp tắt LNK riêng biệt phục vụ các mục đích bổ trợ. Tệp tắt đầu tiên nhúng vào thư mục Startup của người dùng, đảm bảo thực thi tự động mỗi khi người dùng đăng nhập vào tài khoản Windows của họ.

Thay vì trực tiếp khởi chạy payload độc hại, tệp tắt chính này tham chiếu đến một tệp LNK thứ hai. Tệp này được đặt một cách chiến lược trong cấu trúc thư mục AppData, nơi nó ít bị chú ý hơn khi kiểm tra thông thường.

Tệp tắt thứ cấp này đóng vai trò là trình khởi chạy payload thực tế, thực thi một tệp JavaScript bổ sung được thả xuống trong quá trình lây nhiễm ban đầu.

Kích Hoạt Bằng Phím Tắt Tùy Chỉnh và Giả Lập Keystroke

Để làm phức tạp thêm vấn đề, Gootloader tạo các phím tắt bàn phím tùy chỉnh sử dụng tổ hợp Ctrl+Alt kết hợp với các chữ cái đơn ngẫu nhiên. Các phím tắt này có thể kích hoạt thủ công tệp LNK thứ cấp.

Trong trình tự lây nhiễm ban đầu, mã độc tự động mô phỏng các tổ hợp phím này. Mục đích là để bắt đầu thực thi mà không cần tương tác của người dùng, bổ sung thêm một lớp tàng hình cho hoạt động.

Tác Động và Chiến Lược Phát Hiện Xâm Nhập

Sự trở lại của Gootloader với các khả năng nâng cao củng cố một thách thức cơ bản trong an ninh mạng: các nỗ lực làm gián đoạn thành công hiếm khi loại bỏ vĩnh viễn những kẻ tấn công có quyết tâm. Thay vào đó, chúng buộc những kẻ tấn công phải phát triển chiến thuật.

Các nhà điều hành đằng sau chiến dịch này tiếp tục thể hiện sự sáng tạo kỹ thuật trong việc vượt qua các kiểm soát bảo mật, duy trì an ninh hoạt động và lừa dối người dùng thông qua kỹ thuật xã hội có tính ngữ cảnh cao.

Các tổ chức và chuyên gia bảo mật điều tra các trường hợp lây nhiễm Gootloader tiềm năng nên ưu tiên kiểm tra các tệp lưu trữ ZIP. Các tệp này thể hiện hành vi giải nén không nhất quán trên các công cụ khác nhau, đây là một chỉ số rõ ràng về kỹ thuật né tránh đặc trưng của chiến dịch này.

Ngoài ra, việc giám sát các vị trí tệp LNK bất thường trong thư mục Startup và thư mục AppData, kết hợp với sự cảnh giác đối với các tác vụ đã lên lịch hoặc cấu hình phím tắt tùy chỉnh không mong muốn, có thể giúp phát hiện xâm nhập hệ thống bị xâm phạm trước khi kẻ tấn công tiến tới các mục tiêu giai đoạn sau, bao gồm triển khai mã độc tống tiền.