Nguyễn Tiến Đạt
Intern Writer
GootLoader – mã độc JavaScript (JScript) – vừa được phát hiện sử dụng một tệp ZIP bị cố tình làm lỗi để tránh bị phân tích. Theo chuyên gia bảo mật Aaron Walton của Expel, tệp lưu trữ được ghép từ 500–1.000 file ZIP, khiến hầu hết công cụ giải nén không thể xử lý.
Nhiều ứng dụng phổ biến như WinRAR hay 7-Zip sẽ báo lỗi và không mở được, từ đó chặn luôn các quy trình tự động kiểm tra file. Tuy nhiên, trình giải nén mặc định trên Windows lại có thể mở bình thường, giúp nạn nhân dễ dàng giải nén và chạy mã độc mà không nghi ngờ.
GootLoader tiếp tục phát tán qua SEO độc hại và quảng cáo, đánh trúng người dùng đang tìm tài liệu mẫu. Khi người dùng truy cập trang WordPress bị xâm nhập, tệp ZIP độc hại sẽ được phân phối và tải xuống. Đây là công cụ tải (loader) có nhiệm vụ thả mã độc thứ cấp, thậm chí cả ransomware, với các ghi nhận hoạt động từ ít nhất năm 2020.
• Dùng font WOFF2 tùy chỉnh thay ký tự để làm mờ tên tập tin
• Lợi dụng endpoint bình luận WordPress “/wp-comments-post.php” để đẩy ZIP khi người dùng nhấn “Download”
Expel ghi nhận những kỹ thuật né tránh hiện tại bao gồm:
Chuỗi tấn công được triển khai bằng cách gửi gói ZIP dưới dạng dữ liệu được mã hóa XOR. Trình duyệt nạn nhân sẽ tự giải mã và ghép nối liên tục trên máy cho đến khi đạt kích thước mục tiêu, từ đó vượt qua kiểm soát an ninh phát hiện truyền tệp lớn.
Khi người dùng mở file ZIP, Windows Explorer hiển thị nội dung chứa mã độc JavaScript và chạy bằng wscript.exe. Mã độc sẽ:
Nhiều ứng dụng phổ biến như WinRAR hay 7-Zip sẽ báo lỗi và không mở được, từ đó chặn luôn các quy trình tự động kiểm tra file. Tuy nhiên, trình giải nén mặc định trên Windows lại có thể mở bình thường, giúp nạn nhân dễ dàng giải nén và chạy mã độc mà không nghi ngờ.
GootLoader tiếp tục phát tán qua SEO độc hại và quảng cáo, đánh trúng người dùng đang tìm tài liệu mẫu. Khi người dùng truy cập trang WordPress bị xâm nhập, tệp ZIP độc hại sẽ được phân phối và tải xuống. Đây là công cụ tải (loader) có nhiệm vụ thả mã độc thứ cấp, thậm chí cả ransomware, với các ghi nhận hoạt động từ ít nhất năm 2020.
Các kỹ thuật che giấu nhằm né hệ thống phòng thủ
Từ cuối tháng 10/2025, GootLoader lại xuất hiện với thủ đoạn mới:• Dùng font WOFF2 tùy chỉnh thay ký tự để làm mờ tên tập tin
• Lợi dụng endpoint bình luận WordPress “/wp-comments-post.php” để đẩy ZIP khi người dùng nhấn “Download”
Expel ghi nhận những kỹ thuật né tránh hiện tại bao gồm:
- Ghép 500–1.000 tệp nén lại thành một khối duy nhất
- Cắt bớt hai byte trong bản ghi EOCD khiến kho lưu trữ lỗi phân tích
- Ngẫu nhiên các trường như số đĩa để mô phỏng nhiều tệp ZIP không tồn tại
Chuỗi tấn công được triển khai bằng cách gửi gói ZIP dưới dạng dữ liệu được mã hóa XOR. Trình duyệt nạn nhân sẽ tự giải mã và ghép nối liên tục trên máy cho đến khi đạt kích thước mục tiêu, từ đó vượt qua kiểm soát an ninh phát hiện truyền tệp lớn.
Khi người dùng mở file ZIP, Windows Explorer hiển thị nội dung chứa mã độc JavaScript và chạy bằng wscript.exe. Mã độc sẽ:
- Tạo file LNK trong thư mục Khởi động để duy trì hiện diện
- Mở tệp JavaScript thứ hai qua cscript.exe
- Sinh lệnh PowerShell để tiếp tục giai đoạn lây nhiễm
- Trong nhiều chiến dịch trước, PowerShell dùng để thu thập thông tin hệ thống và nhận lệnh từ máy chủ điều khiển.
- Chặn thực thi wscript.exe và cscript.exe với file tải về
- Sử dụng GPO để ép file JavaScript mở bằng Notepad thay vì chạy trực tiếp
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
