Một mã độc loader mới có tên GoFlateLoader đang âm thầm lan rộng trên internet, gây ra các mối đe dọa mạng nghiêm trọng. Điểm đặc biệt của loader này không nằm ở sự phức tạp mà ở hiệu quả của một kỹ thuật đơn giản nhưng mang lại kết quả cao.
Tổng quan về GoFlateLoader
Được viết bằng ngôn ngữ lập trình Go, GoFlateLoader có một nhiệm vụ chính: giải mã và triển khai các chương trình đánh cắp thông tin nguy hiểm lên máy tính của nạn nhân mà không bị phát hiện. Thay vì sử dụng các kỹ thuật hack tiên tiến, loader này tận dụng việc tăng kích thước tệp tin của mình lên mức quá lớn để các công cụ bảo mật khó lòng quét.
Mục tiêu và Phương thức hoạt động
GoFlateLoader đã được phát hiện và theo dõi tích cực kể từ tháng 4 năm 2026. Trong thời gian ngắn ngủi đó, nó đã ảnh hưởng đến hơn 33.000 người dùng trên toàn cầu. Các quốc gia chịu ảnh hưởng nặng nề nhất bao gồm Brazil, Ấn Độ, Argentina, Mexico, Thổ Nhĩ Kỳ và Tây Ban Nha, cho thấy một chiến dịch lan rộng và dai dẳng, không có dấu hiệu chậm lại.
Loader này đã được ghi nhận là phân phối nhiều loại phần mềm đánh cắp thông tin (infostealers) phổ biến như Lumma, Vidar, StealC, Amatera, Remus và SvitStealer. Nó có cả phiên bản 32-bit và 64-bit, mỗi phiên bản tương ứng với kiến trúc của payload mà nó dự định chạy.
Chiến thuật né tránh phát hiện
Một điểm đáng chú ý của GoFlateLoader là việc nó thiếu các biện pháp bảo vệ thông thường. Cụ thể, nó không có các kiểm tra chống gỡ lỗi (anti-debugging checks), không phát hiện máy ảo (virtual machine detection) và không có logic né tránh sandbox (sandbox-evasion logic) – những công cụ mà hầu hết các loader thường sử dụng. Thay vào đó, nó dựa vào một phương pháp đơn giản nhưng hiệu quả để tránh bị phát hiện.
Hai phương thức lây nhiễm chính mà GoFlateLoader sử dụng là thông qua các bản tải xuống phần mềm crack giả mạo và hệ thống phân phối lưu lượng độc hại (malicious traffic distribution system). Trong trường hợp thứ hai, người dùng bị chuyển hướng đến một trang đích hiển thị một kho lưu trữ được bảo vệ bằng mật khẩu, cùng với mật khẩu để mở. Việc hiển thị mật khẩu riêng biệt này khiến các công cụ bảo mật khó tự động giải nén và quét nội dung bên trong.
Khi loader được thực thi, nó giải mã payload hoàn toàn trong bộ nhớ của máy tính, nghĩa là chương trình độc hại cuối cùng không bao giờ được ghi vào ổ cứng. Cách tiếp cận trong bộ nhớ này là một chiến thuật đã biết để tránh sự phát hiện của phần mềm bảo mật giám sát hoạt động tệp tin trên đĩa.
Việc sử dụng hàm syscall.Syscall của Go như một cơ chế truyền tải, với các đối số giả được mã hóa cứng, là một mẫu hành vi bất thường. Các nhà nghiên cứu cho rằng điều này có thể được sử dụng làm dấu hiệu phát hiện hữu ích.
Kỹ thuật Tăng kích thước tệp tin
Đặc điểm nổi bật nhất của GoFlateLoader là kích thước tệp tin của nó, thường dao động trong khoảng từ 700 đến 950 megabyte. Sự gia tăng kích thước khổng lồ này không phải là ngẫu nhiên.
PE Overlay và Tác động
Loader này tự làm phồng kích thước một cách nhân tạo bằng cách thêm một khối dữ liệu lớn, được gọi là PE overlay, vào cuối mã thực thi thực tế. Trong hầu hết các mẫu quan sát được, dữ liệu bổ sung này chỉ đơn giản là các byte null. Tuy nhiên, một số bản dựng sử dụng dữ liệu đệm ngẫu nhiên thay thế.
Mục tiêu của việc phồng kích thước này rất rõ ràng. Nhiều công cụ quét virus (antivirus engines), công cụ phát hiện điểm cuối (endpoint detection tools) và các nền tảng phân tích dựa trên đám mây áp đặt các giới hạn kích thước nghiêm ngặt cho các tệp tin mà chúng sẵn sàng quét sâu. VirusTotal, một trong những nền tảng tình báo mã độc được sử dụng rộng rãi nhất, có giới hạn tải lên là 650 MB.
Kích thước GoFlateLoader luôn vượt quá ngưỡng này cho thấy nó được thiết kế đặc biệt để lách qua VirusTotal và các công cụ bị giới hạn kích thước tương tự. Khi được nén để phân phối, dữ liệu bị phồng sẽ giảm kích thước đáng kể, giúp việc lây nhiễm nhanh chóng và chi phí thấp cho kẻ tấn công.
Đây là một ví dụ về các lỗ hổng bảo mật mà kẻ tấn công có thể khai thác bằng các phương pháp không truyền thống.
Payload và Khuyến nghị Bảo mật
Các loại Payload Phổ biến
Các payload cuối cùng mà GoFlateLoader triển khai đều là các phần mềm đánh cắp thông tin, được thiết kế để thu thập các thông tin nhạy cảm như mật khẩu đã lưu, dữ liệu trình duyệt và thông tin đăng nhập ví tiền mã hóa từ các máy bị nhiễm.
Các payload phổ biến nhất được quan sát là Amatera, Remus và Lumma, bên cạnh đó cũng có Vidar, StealC và SvitStealer. Sự đa dạng của các payload này cho thấy khả năng thích ứng và mục tiêu rộng của GoFlateLoader.
Biện pháp Phòng ngừa và Giảm thiểu Rủi ro
Người dùng có thể giảm thiểu rủi ro bằng cách tránh tải xuống từ các nguồn không chính thức hoặc không đáng tin cậy, đặc biệt là các phần mềm được quảng cáo là phiên bản crack hoặc phiên bản miễn phí của các chương trình trả phí. Đây là một trong những con đường dẫn đến xâm nhập mạng phổ biến.
Việc giữ cho các công cụ bảo mật luôn được cập nhật và sử dụng các giải pháp có khả năng phát hiện các mối đe dọa trong bộ nhớ (in-memory threats) thay vì chỉ dựa vào quét tệp tin là rất cần thiết. Vì GoFlateLoader tránh ghi payload trực tiếp lên đĩa, việc phát hiện dựa trên tệp tin truyền thống có thể không đủ để ngăn chặn nó.
Các nhà nghiên cứu khuyến nghị việc sử dụng các giải pháp an ninh mạng tiên tiến có khả năng phân tích hành vi và giám sát bộ nhớ để phát hiện hiệu quả các hoạt động độc hại của GoFlateLoader.
Nguồn thông tin chi tiết có thể tham khảo tại báo cáo của Gen Digital: Gen Digital – GoFlateLoader Delivers Multiple Infostealers.
