VietNetwork.Vn

Theo những phát hiện mới từ Huntress, phần mềm độc hại có tên GootLoader đã xuất hiện trở lại sau một thời gian hoạt động tăng đột biến vào đầu tháng 3.

Công ty an ninh mạng cho biết họ đã quan sát thấy ba trường hợp nhiễm GootLoader kể từ ngày 27 tháng 10 năm 2025, trong đó có hai trường hợp dẫn đến xâm nhập bàn phím bằng tay với việc chiếm quyền điều khiển miền diễn ra trong vòng 17 giờ kể từ lần nhiễm ban đầu.

"GootLoader đã quay trở lại và hiện đang tận dụng phông chữ WOFF2 tùy chỉnh với chức năng thay thế ký tự tượng hình để làm tối nghĩa tên tệp", nhà nghiên cứu bảo mật Anna Pham cho biết, đồng thời nói thêm rằng phần mềm độc hại này "lợi dụng các điểm cuối bình luận của WordPress để phân phối các tệp ZIP được mã hóa XOR với các khóa duy nhất cho mỗi tệp".

GootLoader, có liên kết với một tác nhân đe dọa được theo dõi là Hive0127 (hay còn gọi là UNC2565), là một trình tải phần mềm độc hại dựa trên JavaScript thường được phân phối thông qua các chiến thuật đầu độc tối ưu hóa công cụ tìm kiếm (SEO) để cung cấp thêm các phần mềm độc hại, bao gồm cả phần mềm tống tiền.

Trong một báo cáo được công bố vào tháng 9 năm ngoái, Microsoft đã tiết lộ rằng tác nhân đe dọa được gọi là Vanilla Tempest đã nhận được sự chuyển giao từ các vụ lây nhiễm GootLoader của tác nhân đe dọa Storm-0494, lợi dụng quyền truy cập để cài đặt một cửa hậu có tên là Supper (còn gọi là SocksShell hoặc ZAPCAT), cũng như AnyDesk để truy cập từ xa. Những chuỗi tấn công này đã dẫn đến việc triển khai ransomware INC.

Cần lưu ý rằng Supper cũng được xếp chung với Interlock RAT (hay còn gọi là NodeSnake), một phần mềm độc hại khác chủ yếu liên quan đến ransomware Interlock. "Mặc dù không có bằng chứng trực tiếp nào cho thấy Interlock sử dụng Supper, nhưng cả Interlock và Vice Society đều có liên quan đến Rhysida vào những thời điểm khác nhau, cho thấy khả năng có sự trùng lặp trong hệ sinh thái tội phạm mạng rộng lớn hơn", Forescout lưu ý tháng trước.

Sau đó, vào đầu năm nay, kẻ tấn công đứng sau GootLoader đã bị phát hiện đã lợi dụng Google Ads để nhắm mục tiêu vào các nạn nhân đang tìm kiếm mẫu pháp lý, chẳng hạn như thỏa thuận, trên các công cụ tìm kiếm để chuyển hướng họ đến các trang web WordPress bị xâm phạm lưu trữ tệp ZIP chứa phần mềm độc hại.


Chuỗi tấn công mới nhất được Huntress ghi nhận cho thấy các tìm kiếm với các cụm từ như "missouri cover utility easement roadway" trên Bing đang được sử dụng để hướng dẫn người dùng không cảnh giác tải xuống tệp ZIP. Điều đáng chú ý lần này là việc sử dụng phông chữ web tùy chỉnh để làm mờ tên tệp hiển thị trên trình duyệt nhằm vô hiệu hóa các phương pháp phân tích tĩnh.

"Vì vậy, khi người dùng cố gắng sao chép tên tệp hoặc kiểm tra mã nguồn, họ sẽ thấy các ký tự lạ như ‛›μI€vSO₽*'Oaμ==€,,33O%33,€×:O[TM€v3cwv," Pham giải thích.

"Tuy nhiên, khi hiển thị trên trình duyệt của nạn nhân, những ký tự này lại tự động chuyển đổi thành văn bản hoàn toàn có thể đọc được như Florida_HOA_Committee_Meeting_Guide.pdf. Điều này đạt được thông qua tệp phông chữ WOFF2 tùy chỉnh mà Gootloader nhúng trực tiếp vào mã JavaScript của trang bằng mã hóa Z85, một biến thể của Base85 giúp nén phông chữ 32KB xuống còn 40KB."

Ngoài ra, còn có một thủ thuật mới giúp sửa đổi tệp ZIP sao cho khi mở bằng các công cụ như VirusTotal, tiện ích ZIP của Python hoặc 7-Zip, tệp sẽ được giải nén thành một tệp.TXT trông có vẻ vô hại. Trên Windows File Explorer, tệp nén sẽ trích xuất một tệp JavaScript hợp lệ, chính là nội dung dự định.

Một nhà nghiên cứu bảo mật, người đã theo dõi phần mềm độc hại này trong thời gian dài dưới bút danh "GootLoader", cho biết về sự phát triển này : "Kỹ thuật trốn tránh đơn giản này giúp kẻ tấn công có thêm thời gian bằng cách che giấu bản chất thực sự của phần mềm khỏi quá trình phân tích tự động".

Tải trọng JavaScript có trong kho lưu trữ được thiết kế để triển khai Supper, một backdoor có khả năng điều khiển từ xa và proxy SOCKS5. Trong ít nhất một trường hợp, các tác nhân đe dọa được cho là đã sử dụng Windows Remote Management (WinRM) để di chuyển ngang sang Bộ điều khiển miền và tạo một người dùng mới có quyền truy cập cấp quản trị viên.

Huntress cho biết: "Backdoor Supper SOCKS5 sử dụng biện pháp che giấu phức tạp để bảo vệ chức năng đơn giản – API hammering, xây dựng shellcode thời gian chạy và mã hóa tùy chỉnh gây ra nhiều khó khăn trong việc phân tích, nhưng các khả năng cốt lõi vẫn giữ nguyên tính cơ bản: proxy SOCKS và truy cập shell từ xa".

"Cách tiếp cận 'đủ tốt' này chứng minh rằng kẻ tấn công không cần đến các biện pháp khai thác tiên tiến khi các công cụ thiết yếu được che giấu đúng cách có thể đạt được mục tiêu của chúng."