Trong bảy năm qua, những kẻ phát triển đứng sau các chiến dịch AppSuite-PDF và PDF Editor đã khai thác tối thiểu 26 chứng chỉ mã hóa phần mềm khác nhau. Mục tiêu chính là cấp tính hợp pháp cho phần mềm độc hại của chúng, được theo dõi chung dưới tên gọi mã độc BaoLoader. Ban đầu được phân loại là các chương trình không mong muốn (PUPs), các cuộc điều tra gần đây đã xác định mối liên hệ với hành vi lừa đảo trắng trợn, đòi hỏi việc phân loại lại và tăng cường giám sát.

Kỹ Thuật Lạm Dụng Chứng Chỉ Mã Hóa Của Mã Độc BaoLoader

Các đối tượng tấn công sử dụng chứng chỉ mã hóa phần mềm để vượt qua các cơ chế kiểm soát bảo mật. Chúng giả mạo các doanh nghiệp hợp pháp, từ đó đánh lừa người dùng và các hệ thống phòng thủ. Phương thức này tạo ra một vỏ bọc đáng tin cậy cho phần mềm độc hại.

Quy Trình Thu Thập Chứng Chỉ

Những kẻ tấn công thường đăng ký các pháp nhân mới, thường là các công ty vỏ bọc với sự hiện diện trực tuyến tối thiểu. Sau đó, chúng sử dụng các pháp nhân này để đảm bảo có được chứng chỉ từ các nhà cung cấp đáng tin cậy. Các tổ chức phát hành chứng chỉ bị lạm dụng bao gồm:

• DigiCert
• GlobalSign
• SSL.com
• Entrust
• Sectigo

Các chứng chỉ này nhúng một hàm băm mã hóa của trình cài đặt. Điều này tạo ra niềm tin sai lầm rằng phần mềm không bị can thiệp và đến từ một nhà cung cấp đáng tin cậy. Kỹ thuật này giúp mã độc BaoLoader dễ dàng lây nhiễm vào hệ thống.

Phạm Vi Lạm Dụng Chứng Chỉ

Nghiên cứu hợp tác với CertCentral.org đã xác định 26 chứng chỉ duy nhất được cấp cho 24 công ty khác nhau. Các công ty này có trụ sở tại Panama, Malaysia, Hoa Kỳ, Quần đảo Virgin thuộc Anh và các khu vực khác. Tất cả các chứng chỉ này đều được sử dụng độc quyền để ký các thành phần của mã độc BaoLoader.

Một điểm bất thường là các đối tượng đã lấy nhiều chứng chỉ cho cùng một danh tính tổ chức từ các nhà phát hành khác nhau trong 11 trường hợp. Đây là bằng chứng mạnh mẽ cho thấy chúng tự dàn xếp việc mua chứng chỉ. Điều này khác biệt so với việc mua lại các chứng chỉ đã được bán lại.

Chi tiết về lịch sử và các chứng chỉ được khai thác bởi nhóm phát triển BaoLoader có thể tham khảo thêm tại Expel Blog.

Mã Độc BaoLoader và Các Chiến Dịch Liên Quan

Các trình cài đặt AppSuite-PDF và PDF Editor giả mạo các công cụ năng suất hữu ích. Tuy nhiên, chúng lại triển khai một cửa hậu dai dẳng trên hệ thống nạn nhân. AppSuite-PDF là một ứng dụng đơn giản có chức năng chính là tải xuống và cài đặt ứng dụng PDF Editor, cho phép người dùng chỉnh sửa PDF.

Các Danh Tính Kẻ Tấn Công và Chiến Dịch Trước Đó

Các tên nhà phát hành như GLINT SOFTWARE SDN. BHD., ECHO INFINI SDN. BHD. và Summit Nexus Holdings LLC xuất hiện nhiều lần trên các đệ trình VirusTotal từ giữa năm 2025. Một nhóm chứng chỉ dưới các tên “Apollo Technologies Inc.”, “Caerus Media LLC,” và “Onestart Technologies LLC” đã được sử dụng để ký các trình cài đặt OneStart. Các trình cài đặt này được đóng gói với các tải trọng PDF Editor ẩn.

Trước các chiến dịch này, cùng một nhóm đối tượng đã hoạt động dưới các danh tính như:

• Digital Promotions Sdn. Bhd.
• Eclipse Media Inc.
• Astral Media Inc.
• Blaze Media Inc.

Chúng phân phối các trình cài đặt Web Companion và PUPs ngụy trang dưới các tên như “ZoomSetup,” “FreeManuals,” và “Launch Browser”. Quy ước đặt tên phiên bản nhất quán (ví dụ: “-vX.X.XXXX.X”) liên kết tất cả các thành phần này với chiến dịch mã độc BaoLoader.

Phân Biệt BaoLoader Với Các Mối Đe Dọa Mạng Khác

Mặc dù có những điểm tương đồng bề ngoài, việc phân biệt mã độc BaoLoader với các chiến dịch khác là rất quan trọng để có phản ứng phù hợp. Các điểm tương đồng bao gồm lạm dụng chứng chỉ, các trình tải tiện ích mở rộng Chrome, các tác vụ theo lịch trình và việc sử dụng node.exe.

Đặc Điểm Địa Lý Chứng Chỉ

Mã độc BaoLoader thể hiện một đặc điểm địa lý chứng chỉ độc đáo, ưu tiên các nhà phát hành ở Panama, Malaysia và Hoa Kỳ. Ngược lại, chứng chỉ của Chromeloader chủ yếu có nguồn gốc từ Israel, Đức, Vương quốc Anh và Slovenia. Không có sự trùng lặp nào về số sê-ri chứng chỉ hoặc tổ chức giữa chúng.

Khác Biệt Kỹ Thuật Với TamperedChef

TamperedChef, một chiến dịch trojan riêng biệt, sử dụng chứng chỉ cho các công ty ở Ukraine và Vương quốc Anh. Chiến dịch này còn tích hợp các ký tự HTML ẩn để tạo kênh lệnh bí mật. Những chiến thuật này không có trong luồng tấn công của mã độc BaoLoader. Việc gán sai mối đe dọa có thể làm suy yếu nỗ lực ứng phó sự cố và thực thi pháp luật.

Điều này nhấn mạnh sự cần thiết của việc đặt tên chính xác: BaoLoader vẫn là một mối đe dọa mạng riêng biệt và không nên bị nhầm lẫn với Chromeloader hoặc TamperedChef. Sự chính xác trong việc nhận diện giúp tăng cường an ninh mạng.

Chiến Lược Phòng Thủ và Giảm Thiểu Rủi Ro Bảo Mật

Lạm dụng chứng chỉ mã hóa phần mềm đại diện cho một kỹ thuật né tránh mạnh mẽ. Các tổ chức chỉ dựa vào sự hiện diện của chứng chỉ như một tín hiệu tin cậy đang đối mặt với rủi ro cài đặt phần mềm độc hại. Để giảm thiểu nguy cơ này, các biện pháp phòng thủ cần được triển khai toàn diện.

Các Biện Pháp Phòng Ngừa Chủ Động

Các quy trình phòng thủ nên bao gồm kiểm tra nguồn gốc chứng chỉ và phát hiện các bất thường. Điều này đặc biệt quan trọng khi các chứng chỉ mới hoặc nhiều chứng chỉ xuất hiện cho cùng một nhà phát hành. Việc phối hợp phản hồi thu hồi chứng chỉ nhanh chóng với các cơ quan cấp chứng chỉ (CA) là điều cần thiết.

Giải Pháp Phát Hiện Xâm Nhập và Ngăn Chặn

Các giải pháp cho phép liệt kê ứng dụng đáng tin cậy (application whitelisting) như AppLocker có thể chặn các tệp không có chữ ký hoặc chữ ký không đáng tin cậy. Bên cạnh đó, săn lùng mối đe dọa có thể tận dụng các danh sách chặn chứng chỉ do cộng đồng duy trì.

Cơ sở dữ liệu của CertCentral.org, với hơn 1.500 chứng chỉ bị lạm dụng, đóng vai trò là một nguồn tài nguyên quan trọng cho việc phát hiện xâm nhập và khắc phục sự cố. Chiến dịch kéo dài nhiều năm của mã độc BaoLoader làm nổi bật sự tinh vi ngày càng tăng của các phần mềm độc hại kiểu PUP. Điều này cũng cho thấy sự cần thiết của việc giám sát liên tục hệ sinh thái chứng chỉ.

Khi các đối tượng tấn công tinh chỉnh chiến lược giả mạo của chúng, các nhà phòng thủ phải coi siêu dữ liệu chứng chỉ và các mẫu ký là các chỉ số có độ tin cậy cao. Điều này giúp nâng cao khả năng bảo vệ trước các rủi ro bảo mật tiềm tàng.