-
09/04/2020
-
122
-
1.258 bài viết
GootLoader trở lại: ZIP “ngụy trang” và font lạ giúp tin tặc chiếm domain
Sau một thời gian ngắn giảm nhiệt hồi tháng 3/2025, GootLoader, phần mềm độc hại dạng loader nổi tiếng trên nền tảng JavaScript, vừa tái xuất hiện mạnh mẽ với các kỹ thuật tinh vi hơn. Từ cuối tháng 10/2025, đã có ít nhất ba trường hợp lây nhiễm, trong đó hai sự cố dẫn tới xâm nhập trực tiếp vào hệ thống, với việc thỏa hiệp bộ điều khiển miền chỉ trong vòng 17 giờ kể từ khi máy bị nhiễm.
GootLoader được phát tán chủ yếu qua tối ưu hóa công cụ tìm kiếm, đưa nạn nhân đến các trang WordPress bị xâm nhập và tải về các tệp ZIP chứa payload JavaScript được mã hóa XOR, mỗi tệp có khóa riêng. Lần trở lại này, phần mềm độc hại đã sử dụng font WOFF2 tùy chỉnh với kỹ thuật thay đổi ký tự để che giấu tên tệp, khiến các công cụ kiểm tra tự động hoặc phân tích tĩnh không nhận ra tệp thực sự chứa mã độc. Khi người dùng mở ZIP trên Windows, tệp giải nén hiển thị đúng JavaScript – payload triển khai backdoor Supper, cho phép kẻ tấn công điều khiển từ xa, tạo proxy SOCKS5 và di chuyển sang các máy chủ quan trọng trong mạng.
Các chuỗi tấn công gần đây cho thấy GootLoader có liên kết với nhóm Hive0127. Trước đó, Microsoft từng cảnh báo việc nhóm Vanilla Tempest nhận quyền truy cập từ các lây nhiễm GootLoader do Storm-0494 thực hiện, để triển khai Supper (SocksShell/ZAPCAT) và AnyDesk nhằm truy cập từ xa. Chuỗi tấn công này còn dẫn tới việc triển khai ransomware INC. Ngoài ra, Supper còn liên quan tới Interlock RAT, gợi ý một hệ sinh thái tội phạm mạng phức tạp với sự chồng chéo giữa các nhóm.
Một chiêu thức đáng lưu ý là tệp ZIP giả dạng TXT khi mở bằng các công cụ như VirusTotal, Python, hay 7-Zip, nhưng thực chất trên Windows File Explorer là JavaScript thực thi. Kỹ thuật này giúp kẻ tấn công tránh bị phát hiện bởi các hệ thống phân tích tự động, kéo dài thời gian tấn công. Như Huntress nhấn mạnh, các tác giả phần mềm độc hại không cần khai thác tiên tiến, chỉ cần công cụ cơ bản nhưng được che giấu tốt là đủ để đạt mục tiêu.
Tác động tới người dùng và doanh nghiệp là đáng kể. Các hệ thống WordPress dễ bị khai thác, người dùng tìm kiếm mẫu hợp đồng hoặc tài liệu pháp lý có nguy cơ tải về tệp độc hại mà không hay biết. Khi GootLoader thỏa hiệp thành công, kẻ tấn công có thể chiếm quyền kiểm soát máy, tạo tài khoản quản trị, truy cập dữ liệu nhạy cảm và triển khai ransomware.
Các chuyên gia khuyến cáo, các quản trị viên WordPress cần kiểm tra và vá các lỗ hổng bảo mật, theo dõi các truy cập bất thường vào server. Người dùng khi tải tài liệu từ web nên kiểm tra nguồn tin cậy và bật các biện pháp bảo vệ trên trình duyệt. Ngoài ra, các giải pháp chống malware, sandbox phân tích tệp ZIP, và kiểm tra hash tệp trước khi mở là các bước cần thiết để giảm nguy cơ lây nhiễm.
Sự trở lại của GootLoader cho thấy tội phạm mạng ngày càng tinh vi và sáng tạo, lợi dụng các công cụ hợp pháp và kỹ thuật che giấu để xâm nhập mạng doanh nghiệp. Việc cảnh giác, cập nhật kịp thời và áp dụng biện pháp phòng ngừa cơ bản vẫn là cách hiệu quả nhất để bảo vệ hệ thống trước các mối đe dọa phức tạp này.
GootLoader được phát tán chủ yếu qua tối ưu hóa công cụ tìm kiếm, đưa nạn nhân đến các trang WordPress bị xâm nhập và tải về các tệp ZIP chứa payload JavaScript được mã hóa XOR, mỗi tệp có khóa riêng. Lần trở lại này, phần mềm độc hại đã sử dụng font WOFF2 tùy chỉnh với kỹ thuật thay đổi ký tự để che giấu tên tệp, khiến các công cụ kiểm tra tự động hoặc phân tích tĩnh không nhận ra tệp thực sự chứa mã độc. Khi người dùng mở ZIP trên Windows, tệp giải nén hiển thị đúng JavaScript – payload triển khai backdoor Supper, cho phép kẻ tấn công điều khiển từ xa, tạo proxy SOCKS5 và di chuyển sang các máy chủ quan trọng trong mạng.
Các chuỗi tấn công gần đây cho thấy GootLoader có liên kết với nhóm Hive0127. Trước đó, Microsoft từng cảnh báo việc nhóm Vanilla Tempest nhận quyền truy cập từ các lây nhiễm GootLoader do Storm-0494 thực hiện, để triển khai Supper (SocksShell/ZAPCAT) và AnyDesk nhằm truy cập từ xa. Chuỗi tấn công này còn dẫn tới việc triển khai ransomware INC. Ngoài ra, Supper còn liên quan tới Interlock RAT, gợi ý một hệ sinh thái tội phạm mạng phức tạp với sự chồng chéo giữa các nhóm.
Một chiêu thức đáng lưu ý là tệp ZIP giả dạng TXT khi mở bằng các công cụ như VirusTotal, Python, hay 7-Zip, nhưng thực chất trên Windows File Explorer là JavaScript thực thi. Kỹ thuật này giúp kẻ tấn công tránh bị phát hiện bởi các hệ thống phân tích tự động, kéo dài thời gian tấn công. Như Huntress nhấn mạnh, các tác giả phần mềm độc hại không cần khai thác tiên tiến, chỉ cần công cụ cơ bản nhưng được che giấu tốt là đủ để đạt mục tiêu.
Tác động tới người dùng và doanh nghiệp là đáng kể. Các hệ thống WordPress dễ bị khai thác, người dùng tìm kiếm mẫu hợp đồng hoặc tài liệu pháp lý có nguy cơ tải về tệp độc hại mà không hay biết. Khi GootLoader thỏa hiệp thành công, kẻ tấn công có thể chiếm quyền kiểm soát máy, tạo tài khoản quản trị, truy cập dữ liệu nhạy cảm và triển khai ransomware.
Các chuyên gia khuyến cáo, các quản trị viên WordPress cần kiểm tra và vá các lỗ hổng bảo mật, theo dõi các truy cập bất thường vào server. Người dùng khi tải tài liệu từ web nên kiểm tra nguồn tin cậy và bật các biện pháp bảo vệ trên trình duyệt. Ngoài ra, các giải pháp chống malware, sandbox phân tích tệp ZIP, và kiểm tra hash tệp trước khi mở là các bước cần thiết để giảm nguy cơ lây nhiễm.
Sự trở lại của GootLoader cho thấy tội phạm mạng ngày càng tinh vi và sáng tạo, lợi dụng các công cụ hợp pháp và kỹ thuật che giấu để xâm nhập mạng doanh nghiệp. Việc cảnh giác, cập nhật kịp thời và áp dụng biện pháp phòng ngừa cơ bản vẫn là cách hiệu quả nhất để bảo vệ hệ thống trước các mối đe dọa phức tạp này.
WhiteHat