Một công cụ tải mã độc (malware loader) mới có tên “BUBBAS GATE” đã xuất hiện trên các diễn đàn ngầm và kênh Telegram, thu hút sự chú ý nhờ những tuyên bố táo bạo về khả năng né tránh tiên tiến, bao gồm việc vượt qua Microsoft SmartScreen và các giải pháp chống vi-rút/phát hiện điểm cuối (AV/EDR) hiện đại.
Công cụ tải này lần đầu tiên được quảng cáo vào ngày 22 tháng 6 năm 2025, với tác nhân đe dọa giới thiệu một loạt các tính năng được thiết kế để né tránh phát hiện và tối đa hóa khả năng duy trì trên các hệ thống bị nhiễm.
Kỹ thuật Né tránh Phát hiện Chuyên sâu
Theo các bài đăng quảng cáo của tác nhân đe dọa, BUBBAS GATE tận dụng sự kết hợp của nhiều kỹ thuật tinh vi nhằm phá vỡ các cơ chế bảo mật truyền thống. Mục tiêu chính là tránh các điểm nối (hooks) và cơ chế phát hiện thường được các phần mềm bảo mật sử dụng để giám sát hoặc chặn các hoạt động đáng ngờ.
Sử dụng Syscall Gián tiếp và VEH Được Sửa đổi
Một trong những kỹ thuật cốt lõi của BUBBAS GATE là việc sử dụng các syscall gián tiếp (indirect syscalls) thông qua một Bộ xử lý ngoại lệ hướng Vector (Vectored Exception Handler – VEH) được sửa đổi. Các syscall là giao diện cấp thấp mà các chương trình ứng dụng sử dụng để yêu cầu dịch vụ từ nhân hệ điều hành. Thay vì gọi trực tiếp các API Windows tiêu chuẩn – vốn thường bị các giải pháp bảo mật theo dõi hoặc gắn cờ để phát hiện hoạt động độc hại – BUBBAS GATE sử dụng các syscall gián tiếp. Điều này có nghĩa là mã độc sẽ tự gọi các chức năng nhân (kernel functions) một cách trực tiếp hơn, bỏ qua các lớp API cao cấp mà các giải pháp AV/EDR thường theo dõi. Kỹ thuật này làm giảm khả năng bị phát hiện thông qua các chữ ký API quen thuộc.
Việc kết hợp với VEH được sửa đổi cho phép mã độc kiểm soát cách hệ thống xử lý các ngoại lệ. Kẻ tấn công có thể lợi dụng điều này để chuyển hướng luồng thực thi, ẩn giấu hoạt động độc hại hoặc thậm chí thực hiện các kỹ thuật chống phân tích (anti-analysis techniques) bằng cách thao túng cách các lỗi hoặc ngoại lệ được báo cáo và xử lý trong môi trường được kiểm soát. Mục tiêu là làm cho việc phân tích động (dynamic analysis) trở nên khó khăn hơn và tránh các chữ ký dựa trên hành vi (behavioral signatures).
Tránh sử dụng API Windows tiêu chuẩn
Để tiếp tục né tránh phát hiện, BUBBAS GATE được thiết kế để tránh sử dụng các API Windows tiêu chuẩn phổ biến. Nhiều API hệ thống, đặc biệt là những API liên quan đến quản lý tiến trình, đọc/ghi file hoặc tương tác mạng, thường được các giải pháp AV/EDR giám sát chặt chẽ thông qua việc gắn các hook vào các hàm này. Bằng cách bỏ qua các API này và thay vào đó thực hiện các thao tác cấp thấp hơn (như thông qua syscall gián tiếp), mã độc có thể thực hiện các hành vi nguy hiểm mà không kích hoạt cảnh báo từ các hệ thống giám sát API truyền thống. Điều này làm giảm khả năng bị các sản phẩm bảo mật nhận diện qua các hành vi dựa trên API đã biết.
Kỹ thuật PEB Walking và Logic Stack Tùy chỉnh
Một kỹ thuật né tránh khác được BUBBAS GATE áp dụng là PEB (Process Environment Block) walking kết hợp với logic stack tùy chỉnh (custom stack logic). PEB là một cấu trúc dữ liệu nội bộ của hệ điều hành Windows chứa thông tin quan trọng về một tiến trình đang chạy, bao gồm các module đã tải, các thông số khởi tạo và các cờ gỡ lỗi (debug flags). Kỹ thuật PEB walking cho phép mã độc truy cập và thao túng thông tin này mà không cần gọi các API hệ thống được giám sát. Điều này có thể được sử dụng để phát hiện các môi trường ảo hóa (virtualized environments) hoặc các công cụ gỡ lỗi (debuggers), sau đó điều chỉnh hành vi của mã độc để tránh bị phân tích trong môi trường sandbox hoặc bởi các nhà nghiên cứu.
Logic stack tùy chỉnh cho phép mã độc thao túng cách các hàm được gọi và trả về, làm cho việc theo dõi luồng thực thi trở nên cực kỳ phức tạp đối với các công cụ phân tích tự động. Kỹ thuật này thường được sử dụng để làm rối loạn các công cụ phân tích tĩnh (static analysis) và động, khiến các nhà nghiên cứu bảo mật khó có thể hiểu được hoàn toàn cách thức hoạt động của mã độc hoặc các chức năng cụ thể của nó, từ đó kéo dài thời gian phát hiện và ứng phó.
Khả năng Bỏ qua SmartScreen
Tuyên bố của công cụ tải về khả năng bỏ qua SmartScreen của Microsoft đặc biệt đáng chú ý. Microsoft SmartScreen là một tính năng bảo mật tích hợp trong Windows và các trình duyệt của Microsoft (như Microsoft Edge), được thiết kế để bảo vệ người dùng khỏi các phần mềm độc hại và trang web lừa đảo bằng cách hiển thị cảnh báo trước khi tải xuống hoặc chạy các file không đáng tin cậy. Các chiến dịch gần đây, chẳng hạn như những chiến dịch phân phối DarkGate và Phemedrone Stealer, đã khai thác các lỗ hổng hoặc sơ hở trong SmartScreen để phân tán mã độc mà không kích hoạt cảnh báo người dùng. Điều này cho thấy SmartScreen là mục tiêu hấp dẫn của các tác nhân đe dọa vì nó là một lớp bảo vệ người dùng ban đầu quan trọng.
Mặc dù phương pháp cụ thể của BUBBAS GATE để bỏ qua SmartScreen vẫn chưa được xác minh độc lập, tuyên bố của tác nhân đe dọa về khả năng né tránh SmartScreen và các giải pháp AV/EDR phù hợp với sự gia tăng mạnh mẽ nhu cầu trên thị trường chợ đen đối với các công cụ né tránh như vậy. Nếu những tuyên bố này là đúng, BUBBAS GATE sẽ trở thành một mối đe dọa đáng kể, cho phép các chiến dịch phát tán mã độc lẩn tránh các lớp bảo vệ ban đầu trên hệ thống mục tiêu, tăng tỷ lệ thành công của các cuộc tấn công.
Hỗ trợ Kiến trúc và Tương thích Ngôn ngữ lập trình
BUBBAS GATE được quảng cáo hỗ trợ cả kiến trúc x64 và x86, cho thấy khả năng tương thích rộng rãi trên nhiều loại hệ thống Windows hiện có. Ngoài ra, nó còn tương thích với các binary được biên dịch bằng các phiên bản .NET (từ 2.0 đến 4.0) và ngôn ngữ lập trình Rust. Việc hỗ trợ các framework và ngôn ngữ lập trình phổ biến này cho phép tác nhân đe dọa sử dụng BUBBAS GATE để tải một loạt các payload mã độc khác nhau, từ các ứng dụng .NET truyền thống phổ biến đến các chương trình hiệu suất cao được viết bằng Rust, vốn ngày càng được sử dụng nhiều trong phát triển phần mềm độc hại do khả năng kiểm soát bộ nhớ tốt và hiệu suất cao.
Loader này cũng tương thích với các file thực thi hỗ trợ TLS (Thread Local Storage) và CRT (C Runtime Library). Khả năng hỗ trợ TLS có thể được sử dụng để ẩn giấu việc khởi tạo mã độc hoặc các module quan trọng, phân chia dữ liệu riêng biệt cho mỗi luồng để tránh bị phát hiện tập trung. Trong khi đó, hỗ trợ CRT đảm bảo rằng loader có thể tương tác hiệu quả với các ứng dụng được biên dịch bằng C/C++, vốn là nền tảng của nhiều phần mềm hợp pháp và độc hại trên Windows.
Cơ chế Mã hóa Độc quyền
Một điểm đáng chú ý khác là BUBBAS GATE tuyên bố sử dụng một sơ đồ mã hóa dựa trên AES độc quyền. Điều quan trọng là sơ đồ này không dựa vào các API mã hóa chuẩn của Windows như bcrypt.dll hoặc các thư viện mã hóa hệ thống khác. Các giải pháp bảo mật thường theo dõi việc sử dụng các API mã hóa hợp pháp để phát hiện hoạt động đáng ngờ, vì việc mã hóa dữ liệu thường là một phần của chuỗi tấn công (ví dụ: ransomware). Bằng cách sử dụng một triển khai AES tùy chỉnh, mã độc có thể tránh được các giải pháp bảo mật dựa trên chữ ký hoặc hành vi liên quan đến các thư viện mã hóa đã biết. Việc này làm phức tạp thêm quá trình phân tích và phát hiện bằng các sản phẩm bảo mật, vì chúng không thể dễ dàng dựa vào các dấu hiệu quen thuộc liên quan đến việc gọi các thư viện mã hóa đã được xác định.
Tính năng và Giá thành
Danh sách rao bán trên Telegram mô tả BUBBAS GATE có một bộ tính năng mạnh mẽ. Tuy nhiên, nội dung chi tiết về các tính năng này không được cung cấp công khai trong thông tin hiện có. Sự thiếu minh bạch này thường thấy trong các quảng cáo công cụ độc hại trên thị trường chợ đen, nơi tác nhân đe dọa chỉ tiết lộ đủ thông tin để thu hút người mua tiềm năng mà không cung cấp chi tiết quá cụ thể có thể được sử dụng để phân tích hoặc phát hiện công cụ của họ.
Về giá cả, công cụ tải này được bán với giá 200 đô la mỗi bản dựng (build). Kèm theo mức giá này là một “bảo hành 15 ngày với Windows Defender,” một chiến thuật tiếp thị ngày càng phổ biến trong số những kẻ bán mã độc trên các diễn đàn ngầm. Bảo hành này nhằm mục đích lôi kéo người mua bằng lời hứa về khả năng hoạt động không bị phát hiện bởi giải pháp bảo mật mặc định của Windows trong một khoảng thời gian nhất định, mặc dù hiệu quả thực tế và điều khoản của “bảo hành” này cần được kiểm chứng nghiêm ngặt.
Tình trạng Hiện tại và Khuyến nghị Bảo mật
Mặc dù có những tuyên bố đầy tham vọng từ tác nhân đe dọa, hiện tại không có xác nhận độc lập nào từ các tác nhân đe dọa khác hoặc các nhà nghiên cứu bảo mật về hiệu quả thực sự của BUBBAS GATE. Điều này là một yếu tố quan trọng cần được lưu ý, vì thị trường ngầm thường xuyên có những công cụ được thổi phồng quá mức trước khi tác động thực tế của chúng được xác nhận thông qua các chiến dịch tấn công thực tế hoặc phân tích của cộng đồng bảo mật.
Cho đến nay, chưa có mẫu mã độc bị rò rỉ nào được quan sát trong tự nhiên (in the wild), và hiệu quả thực tế của công cụ tải này vẫn chưa được chứng minh. Việc không có mẫu để phân tích khiến việc đánh giá chính xác các kỹ thuật né tránh được tuyên bố trở nên khó khăn. Điều này không phải là hiếm trong hệ sinh thái tội phạm mạng, nơi các công cụ mới thường được quảng cáo rầm rộ trước khi tác động thực tế của chúng được xác nhận hoặc trước khi chúng được sử dụng rộng rãi trong các chiến dịch tấn công.
Sự xuất hiện của BUBBAS GATE nhấn mạnh cuộc chạy đua vũ trang không ngừng giữa các nhà phát triển mã độc và các nhà cung cấp giải pháp bảo mật. Các tính năng né tránh tiên tiến và kỹ thuật chống phân tích luôn là trọng tâm của cuộc chiến này, khi các tác nhân đe dọa liên tục tìm cách vượt qua các lớp bảo vệ hiện có. Các tổ chức cần duy trì cảnh giác cao độ và thực hiện các biện pháp phòng ngừa cần thiết. Điều này bao gồm đảm bảo các hệ thống được vá lỗi đầy đủ để chống lại các lỗ hổng đã biết, đặc biệt là những lỗ hổng liên quan đến SmartScreen và các giải pháp EDR. Ngoài ra, cần liên tục theo dõi các hoạt động loader mới và các kỹ thuật né tránh đang nổi lên khi danh tiếng và hiệu quả thực tế của công cụ này được chứng minh trong tương lai.
