Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

GootLoader và kỹ thuật né tránh phát hiện thông qua tệp ZIP chứa JavaScript

08:47 | 22/01/2026
Trần Huy Phương (Trường Cao đẳng Kỹ thuật mật mã - Bộ Tổng tham mưu)

GootLoader là mã độc dựa trên JavaScript/JScript, được phát hiện sử dụng một kỹ thuật tinh vi nhằm né tránh hệ thống phát hiện tự động: tạo các tệp ZIP thay đổi bằng cách ghép nối từ 500 đến 1.000 tệp ZIP nhỏ, khiến nhiều công cụ giải nén và phân tích mã độc tiêu chuẩn không thể xử lý được. Khi người dùng tải xuống và mở tệp ZIP này bằng trình giải nén mặc định của Windows, phần payload JavaScript sẽ được kích hoạt và dẫn tới các hành vi bất lợi trên hệ thống. Chiến dịch này chủ yếu được lan truyền thông qua các trang web đã bị chiếm quyền kiểm soát, nơi các liên kết tải xuống được ngụy trang như kết quả tìm kiếm hoặc nội dung quảng bá hợp pháp, nhằm đánh lừa người dùng đang tìm kiếm các mẫu tài liệu phổ biến trên Internet. Bài báo phân tích cơ chế né tránh phát hiện của GootLoader, chuỗi xâm nhập, đề xuất một số biện pháp phòng thủ đối với các tổ chức an ninh mạng.

Thành phần GootLoader và cơ chế phân phối

GootLoader là một loại phần mềm độc hại có chức năng phát tán và khởi chạy code nguy hiểm, thường được triển khai thông qua các trang web bị xâm nhập hoặc được dựng lên với mục đích đánh lừa người dùng. Trong các chiến dịch này, đối tượng tấn công lợi dụng những trang WordPress để cung cấp các tệp nén giả mạo, khiến người dùng vô tình tải về và mở các tệp chứa mã độc. Những trang này thường xuất hiện khi người dùng tìm kiếm các mẫu tài liệu phổ biến như hợp đồng pháp lý hoặc mẫu đơn, khiến mục tiêu dễ rơi vào bẫy mà không nghi ngờ.

Chuỗi xâm nhập bắt đầu khi nạn nhân nhấp vào liên kết trên trang bị xâm nhập, tải về một tệp ZIP chứa mã JavaScript không rõ ràng. Khi người dùng mở tệp ZIP này bằng trình giải nén tích hợp trên Windows, tệp JavaScript được kích hoạt thông qua wscript.exe hoặc cscript.exe và bắt đầu thực thi các lệnh PowerShell nhằm thu thập thông tin hệ thống hoặc tải các payload thứ cấp như mã độc tống tiền.

Kỹ thuật né tránh phát hiện qua tệp nén ZIP

Điểm nổi bật của chiến dịch hiện tại là kỹ thuật tạo ZIP được thay đổi bằng cách ghép nối từ 500 đến 1.000 tệp ZIP nhỏ tạo thành một tệp duy nhất có cấu trúc bất thường. Nhờ thao tác này, nhiều công cụ giải nén và hệ thống phân tích tự động như WinRAR hoặc 7-Zip bị làm rối và không thể phân tích nội dung, làm giảm khả năng phát hiện trước khi nạn nhân mở tệp. Trình giải nén mặc định của Windows Explorer là công cụ duy nhất có thể xử lý định dạng này một cách đáng tin cậy, tạo điều kiện cho mã độc được chạy.

Kỹ thuật ghép nối nhiều tệp nén ZIP và cơ chế né tránh phát hiện của GootLoader

Kỹ thuật ghép nối nhiều tệp ZIP còn được kết hợp với các cơ chế làm rối mã bổ sung, bao gồm việc cắt bỏ hoặc làm sai lệch trường End of Central Directory trong cấu trúc ZIP và ngẫu nhiên hóa các metadata của tệp nén. Những biện pháp này tạo ra các biến thể tệp độc nhất cho mỗi lần phân phối, qua đó làm suy giảm hiệu quả của các phương pháp phát hiện dựa trên chữ ký, đặc biệt là cơ chế đối sánh hàm băm.

Chuỗi thực thi và cơ chế duy trì hoạt động của mã độc

Sau khi mã JavaScript được thực thi, mã độc thường thiết lập cơ chế tồn tại lâu dài trong hệ thống thông qua việc tạo các tệp LNK trong thư mục khởi động của hệ điều hành, qua đó đảm bảo khả năng tự kích hoạt sau mỗi lần khởi động. Đồng thời, thành phần này có thể tải xuống và triển khai các mô-đun bổ sung hoặc các payload thứ cấp, bao gồm cả mã độc tống tiền. Các lệnh PowerShell do script kích hoạt cho phép thu thập thông tin hệ thống và thiết lập kênh liên lạc với máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công, từ đó mở rộng mức độ kiểm soát đối với môi trường bị xâm nhập.

Các chiến dịch liên quan đến GootLoader đã được ghi nhận từ ít nhất năm 2020 và tiếp tục được cải tiến thông qua việc áp dụng các thủ thuật che giấu mới, chẳng hạn như ghi đè cấu trúc dữ liệu ZIP bằng phông chữ WOFF2 tùy biến hoặc điều chỉnh cơ chế phân phối tệp tải xuống nhằm che giấu thành phần độc hại. Những đặc điểm này phản ánh năng lực thích ứng và tiến hóa liên tục của tác nhân đứng sau chiến dịch.

Chiến dịch GootLoader, với việc khai thác các cấu trúc tệp ZIP bất thường nhằm né tránh cơ chế phát hiện truyền thống, minh họa rõ nét xu hướng gia tăng mức độ tinh vi trong các kỹ thuật né tránh của các bộ nạp mã độc hiện đại. Việc lợi dụng trình giải nén mặc định của hệ điều hành Windows, kết hợp với cơ chế tạo ra các biến thể tệp độc nhất cho từng lần phân phối, đã làm suy giảm đáng kể hiệu quả của các phương pháp phát hiện dựa trên chữ ký. Những đặc điểm này không chỉ nâng cao khả năng xâm nhập ban đầu mà còn tạo điều kiện cho việc triển khai các payload thứ cấp có mức độ tác động nghiêm trọng hơn, bao gồm mã độc tống tiền. Trước bối cảnh đó, các chiến lược phòng vệ hiệu quả cần được xây dựng trên cơ sở kết hợp giữa các giải pháp kỹ thuật nâng cao, phương pháp phát hiện dựa trên hành vi và nâng cao nhận thức người dùng. Việc phân tích toàn diện chuỗi xâm nhập và các cơ chế né tránh của GootLoader cung cấp cơ sở quan trọng để cải thiện năng lực phát hiện và ứng phó trước các mối đe dọa tương tự trong môi trường an ninh mạng đang không ngừng biến đổi.

Twitter Facebook YouTube Copy Link QR Code
WINRAR BIỆN PHÁP PHÒNG THỦ GOOTLOADER TỆP ZIP PAYLOAD POWERSHELL RỐI MÃ JAVASCRIPT MÃ ĐỘC PHẦN MỀM ĐỘC HẠI NÉ TRÁNH PHÁT HIỆN
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Ấn phẩm ATTT Ấn phẩm Khoa học
    Trang liên kết