Bản tin ThreatsDay: Hack Wi-Fi, mã độc npm, trộm cắp DeFi, tấn công lừa đảo — và 15 câu chuyện khác

Bạn có nghĩ Wi-Fi của mình an toàn? Các công cụ lập trình của bạn thì sao? Hay thậm chí là các ứng dụng tài chính yêu thích của bạn? Tuần này một lần nữa cho thấy tin tặc, các công ty và chính phủ đều đang trong một cuộc đua không ngừng để vượt qua nhau. Dưới đây là tổng hợp nhanh các câu chuyện an ninh mạng mới nhất cho thấy cuộc chơi thay đổi nhanh chóng như thế nào.
Bản tin ThreatsDay

Bạn có nghĩ Wi-Fi của mình an toàn? Các công cụ lập trình của bạn thì sao? Hay thậm chí là các ứng dụng tài chính yêu thích của bạn? Tuần này một lần nữa cho thấy tin tặc, các công ty và chính phủ đều đang trong một cuộc đua không ngừng để vượt qua nhau.

Dưới đây là tổng hợp nhanh các câu chuyện an ninh mạng mới nhất cho thấy cuộc chơi thay đổi nhanh chóng như thế nào.

Những câu chuyện an ninh mạng mới nhất

  1. Lỗ hổng DeFi làm cạn kiệt tiền

    Lỗ hổng yETH nghiêm trọng bị lợi dụng để đánh cắp 9 triệu USD

    Một exploit nghiêm trọng nhắm vào nhóm yETH của Yearn Finance trên Ethereum đã bị các threat actors không xác định khai thác, dẫn đến việc đánh cắp khoảng 9 triệu USD từ giao thức. Cuộc tấn công được cho là đã lợi dụng một lỗ hổng trong cách giao thức quản lý kế toán nội bộ, xuất phát từ việc một bộ nhớ cache chứa các giá trị được tính toán để tiết kiệm gas fees đã không được xóa khi nhóm tiền tệ bị rút cạn hoàn toàn. Check Point cho biết: "Kẻ tấn công đã đạt được điều này bằng cách tạo ra một số lượng token khổng lồ – 235 septillion yETH (một số có 41 chữ số) – trong khi chỉ gửi 16 wei, trị giá khoảng 0,000000000000000045 USD. Đây là một trong những exploit hiệu quả về vốn nhất trong lịch sử DeFi."

  2. Mã độc Linux phát triển khả năng ẩn mình

    Phát hiện biến thể mới của Symbiote và BPFDoor

    Fortinet cho biết họ đã phát hiện 151 mẫu BPFDoor mới và ba mẫu Symbiote khai thác Extended Berkeley Packet Filters (eBPFs) để tăng cường khả năng ẩn mình thông qua hỗ trợ IPv6, lưu lượng UDP và chuyển đổi cổng động để liên lạc command-and-control (C2) bí mật. Trong trường hợp của Symbiote, các hướng dẫn BPF cho thấy biến thể mới chỉ chấp nhận các gói IPv4 hoặc IPv6 cho các giao thức TCP, UDP và SCTP trên các cổng không chuẩn 54778, 58870, 59666, 54879, 57987, 64322, 45677 và 63227. Đối với BPFDoor, các artifact mới được xác định đã được tìm thấy để hỗ trợ cả IPv4 và IPv6, cũng như chuyển sang một cơ chế magic packet hoàn toàn khác. Nhà nghiên cứu bảo mật Axelle Apvrille cho biết: "Các tác giả mã độc đang tăng cường các bộ lọc BPF của họ để tăng khả năng tránh bị phát hiện. Symbiote sử dụng cơ chế port hopping trên các cổng UDP cao, và BPFDoor triển khai hỗ trợ IPv6."

  3. Chiến dịch lừa đảo diện rộng bị chặn

    Microsoft chặn chiến dịch lừa đảo Storm-0900

    Microsoft cho biết họ đã phát hiện và chặn vào ngày 26 tháng 11 năm 2025, một chiến dịch phishing quy mô lớn từ một threat actor có tên Storm-0900. Microsoft cho biết: "Chiến dịch sử dụng chủ đề vé phạt đỗ xe và kết quả xét nghiệm y tế, đồng thời nhắc đến Lễ Tạ ơn để tăng tính xác thực và giảm sự nghi ngờ của người nhận. Chiến dịch bao gồm hàng chục nghìn email và nhắm mục tiêu chủ yếu vào người dùng ở Hoa Kỳ." Các URL chuyển hướng đến một trang đích do kẻ tấn công kiểm soát, ban đầu yêu cầu người dùng giải một CAPTCHA dạng thanh trượt bằng cách nhấp và kéo thanh trượt, sau đó là ClickFix, lừa người dùng chạy một PowerShell script độc hại dưới vỏ bọc hoàn thành bước xác minh. Mục tiêu cuối cùng của các cuộc tấn công là phân phối một mã độc dạng mô-đun được gọi là XWorm cho phép truy cập từ xa, đánh cắp dữ liệu và triển khai các payload bổ sung. Microsoft cho biết: "Storm-0900 là một threat actor rất năng động, khi hoạt động, nó sẽ tung ra các chiến dịch phishing hàng tuần."

  4. Chiêu trò lừa đảo tài trợ ẩn chứa mã độc

    Chiến dịch ClickFix phân phối Stealerium Infostealer

    Một chiến dịch phishing mới đã được quan sát, phân phối các email giả mạo về một khoản tài trợ thành tích chuyên nghiệp, thu hút nạn nhân bằng các khoản tiền trợ cấp giả định. Trustwave cho biết: "Nó bao gồm một tệp ZIP được bảo vệ bằng mật khẩu và các chi tiết cá nhân hóa để trông có vẻ hợp pháp, thúc giục nạn nhân mở 'gói kỹ thuật số an toàn' đính kèm để nhận giải thưởng, thiết lập chuỗi lừa đảo thông tin đăng nhập và mã độc theo sau." Tệp lưu trữ ZIP chứa một trang HTML được thiết kế để phish thông tin đăng nhập webmail của họ và trích xuất đến một Telegram bot. Sau đó, một hình ảnh SVG độc hại được sử dụng để kích hoạt một chuỗi PowerShell ClickFix cài đặt Stealerium infostealer để khắc phục một vấn đề được cho là với Google Chrome.

  5. Điệp viên Nga tấn công các tổ chức phi chính phủ

    COLDRIVER nhắm mục tiêu vào tổ chức phi chính phủ Phóng viên Không Biên giới của Pháp

    Một làn sóng hoạt động spear-phishing mới liên quan đến nhóm tấn công có liên hệ với Nga COLDRIVER đã nhắm mục tiêu vào tổ chức phi lợi nhuận Phóng viên Không Biên giới (RSF), vốn bị Điện Kremlin coi là một thực thể "không mong muốn" vào tháng 8 năm 2025. Cuộc tấn công, được quan sát vào tháng 3 năm 2025, bắt nguồn từ một địa chỉ Proton Mail, thúc giục mục tiêu xem xét một tài liệu độc hại bằng cách chia sẻ một liên kết có thể chuyển hướng đến một URL Proton Drive lưu trữ tệp PDF. Trong một trường hợp khác nhắm vào một nạn nhân khác, tệp PDF được đính kèm vào email. Sekoia cho biết: "Tệp được truy xuất là một Calisto decoy: nó hiển thị một biểu tượng và một thông báo cho rằng tệp PDF được mã hóa, hướng dẫn người dùng nhấp vào liên kết để mở nó trong Proton Drive." "Khi người dùng nhấp vào liên kết, họ sẽ được chuyển hướng đến một Calisto redirector được lưu trữ trên một trang web bị xâm nhập, sau đó chuyển tiếp họ đến phishing kit của threat actor." redirector là một PHP script được triển khai trên các trang web bị xâm nhập, cuối cùng đưa nạn nhân đến một trang phishing adversary-in-the-middle (AiTM) có thể thu thập thông tin đăng nhập Proton của họ. Proton sau đó đã gỡ bỏ các tài khoản do kẻ tấn công kiểm soát.

  6. Android tăng cường phòng thủ chống lừa đảo

    Google mở rộng tính năng bảo vệ chống lừa đảo trên Android cho Cash App, JPMorganChase tại Hoa Kỳ

    Google đã mở rộng tính năng bảo vệ chống lừa đảo khi gọi điện trên Android cho Cash App và JPMorganChase tại Hoa Kỳ, sau khi thử nghiệm tính năng này ở Anh, BrazilẤn Độ. Google cho biết: "Khi bạn khởi chạy một ứng dụng tài chính tham gia trong khi chia sẻ màn hình và đang thực hiện cuộc gọi điện thoại với một số không được lưu trong danh bạ của bạn, thiết bị Android của bạn sẽ tự động cảnh báo bạn về những nguy hiểm tiềm tàng và cung cấp cho bạn tùy chọn kết thúc cuộc gọi và dừng chia sẻ màn hình chỉ bằng một lần chạm." "Cảnh báo bao gồm thời gian tạm dừng 30 giây trước khi bạn có thể tiếp tục, giúp phá vỡ 'bùa mê' của kỹ thuật social engineering, làm gián đoạn cảm giác khẩn cấp và hoảng loạn sai lầm thường được sử dụng để thao túng bạn vào một vụ lừa đảo." Tính năng này tương thích với các thiết bị Android 11+.

  7. Ransomware ẩn sau trình đóng gói

    Phát hiện Packer TangleCrypt mới trong thực tế

    Một packer chưa từng được ghi nhận trước đây dành cho mã độc Windows có tên TangleCrypt đã được sử dụng trong một cuộc tấn công ransomware Qilin vào tháng 9 năm 2025 để che giấu các payload độc hại như công cụ diệt EDR STONESTOP bằng cách sử dụng driver ABYSSWORKER như một phần của cuộc tấn công bring your own vulnerable driver (BYOVD) để buộc chấm dứt các sản phẩm bảo mật đã cài đặt trên thiết bị. WithSecure cho biết: "Payload được lưu trữ bên trong PE Resources thông qua nhiều lớp mã hóa base64, nén LZ78 và mã hóa XOR." "Trình tải hỗ trợ hai phương pháp khởi chạy payload: trong cùng một tiến trình hoặc trong một tiến trình con. Phương pháp được chọn được xác định bởi một chuỗi được thêm vào payload nhúng. Để cản trở phân tích và phát hiện, nó sử dụng một số kỹ thuật phổ biến như mã hóa chuỗi và giải quyết import động, nhưng tất cả những điều này đều được phát hiện tương đối dễ dàng để vượt qua. Mặc dù packer có một thiết kế thú vị nói chung, chúng tôi đã xác định một số lỗ hổng trong việc triển khai loader có thể khiến payload bị crash hoặc hiển thị các hành vi bất ngờ khác."

  8. Chứng chỉ SSL rút ngắn thời hạn sử dụng

    Let's Encrypt giảm thời hạn chứng chỉ xuống 45 ngày

    Let's Encrypt đã chính thức công bố kế hoạch giảm thời gian hiệu lực tối đa của các chứng chỉ SSL/TLS từ 90 ngày xuống 45 ngày. Quá trình chuyển đổi, sẽ hoàn thành vào năm 2028, phù hợp với những thay đổi rộng hơn trong ngành theo yêu cầu của CA/Browser Forum Baseline Requirements. Let's Encrypt cho biết: "Việc giảm thời gian hiệu lực của chứng chỉ giúp cải thiện an ninh internet, bằng cách hạn chế phạm vi bị xâm nhập và làm cho các công nghệ thu hồi chứng chỉ hiệu quả hơn." "Chúng tôi cũng đang giảm thời gian sử dụng lại ủy quyền, là khoảng thời gian sau khi xác thực quyền kiểm soát miền mà chúng tôi cho phép cấp chứng chỉ cho miền đó. Hiện tại là 30 ngày, sẽ được giảm xuống còn 7 giờ vào năm 2028."

  9. Tiện ích mở rộng giả mạo phát tán RATs

    Tiện ích mở rộng VS Code độc hại phân phối Anivia Loader và OctoRAT

    Một tiện ích mở rộng Visual Studio Code (VS Code) độc hại có tên "prettier-vscode-plus" đã được xuất bản lên VS Code Marketplace chính thức, mạo danh trình định dạng Prettier hợp pháp. Cuộc tấn công bắt đầu bằng một Visual Basic Script dropper được thiết kế để chạy một PowerShell script nhúng để tải về các payload giai đoạn tiếp theo. Hunt.io cho biết: "Tiện ích mở rộng này đóng vai trò là điểm khởi đầu cho một chuỗi mã độc nhiều giai đoạn, bắt đầu với Anivia loader, giải mã và thực thi các payload tiếp theo trong bộ nhớ." "OctoRAT, payload giai đoạn ba được Anivia loader thả xuống, cung cấp quyền truy cập từ xa hoàn toàn, bao gồm hơn 70 lệnh để giám sát, đánh cắp tệp, điều khiển máy tính từ xa, duy trì truy cập, leo thang đặc quyền và quấy rối." Một số khía cạnh của cuộc tấn công đã được tiết lộ vào tháng trước bởi Checkmarx.

  10. Các quốc gia ban hành hướng dẫn AI cho OT

    Úc, Hoa Kỳ và các đối tác khác công bố hướng dẫn bảo mật AI cho OT

    Các cơ quan an ninh mạng và tình báo từ Úc, Canada, Đức, Hà Lan, New Zealand, Vương quốc Anh và Hoa Kỳ đã công bố các hướng dẫn mới để tích hợp an toàn Trí tuệ nhân tạo (AI) vào các môi trường Operational Technology (OT). Các nguyên tắc chính bao gồm giáo dục nhân sự về rủi ro và tác động của AI, đánh giá các trường hợp kinh doanh, thực hiện các khuôn khổ quản trị để đảm bảo tuân thủ quy định và duy trì giám sát, luôn ghi nhớ an toàn và bảo mật. Floris Dankaart, giám đốc sản phẩm chính của managed extended detection and response tại NCC Group, cho biết: "Sự phối hợp như vậy là hiếm và cho thấy tầm quan trọng của vấn đề này. Điều quan trọng không kém là hầu hết các hướng dẫn về AI đều tập trung vào IT, không phải OT (các hệ thống duy trì hoạt động lưới điện, xử lý nước và các quy trình công nghiệp). Thật mới mẻ và cần thiết khi thấy các cơ quan quản lý công nhận các rủi ro cụ thể của OT và cung cấp các nguyên tắc hành động để tích hợp AI một cách an toàn trong các môi trường này."

  11. Các sân bay bị ảnh hưởng bởi tấn công GPS spoofing

    Ấn Độ tiết lộ về GPS Spoofing tại các sân bay lớn

    Chính phủ Ấn Độ đã tiết lộ rằng các nhà chức trách địa phương đã phát hiện các vụ GPS spoofing và jamming tại tám sân bay lớn, bao gồm Delhi, Kolkata, Amritsar, Mumbai, Hyderabad, Bangalore và Chennai. Tuy nhiên, Bộ trưởng Hàng không Dân dụng Ram Mohan Naidu Kinjarapu không cung cấp bất kỳ chi tiết nào về nguồn gốc của các vụ spoofing và/hoặc jamming, nhưng lưu ý rằng các sự cố này không gây ra bất kỳ thiệt hại nào. Naidu cho biết: "Để tăng cường an ninh mạng chống lại các mối đe dọa toàn cầu, AAI [Cục Hàng không Ấn Độ] đang triển khai các giải pháp an ninh mạng tiên tiến cho mạng lưới và cơ sở hạ tầng IT."

  12. Mã độc npm worm làm lộ hàng ngàn bí mật

    Shai-Hulud 2.0 làm lộ 400.000 bí mật

    Cuộc tấn công chuỗi cung ứng Shai-Hulud thứ hai nhắm vào kho lưu trữ npm đã làm lộ khoảng 400.000 bí mật thô duy nhất sau khi xâm nhập hơn 800 gói và xuất bản dữ liệu bị đánh cắp trong 30.000 kho lưu trữ GitHub. Trong số này, chỉ khoảng 2,5% được xác minh. Wiz cho biết: "Vector lây nhiễm chiếm ưu thế là gói @postman/tunnel-agent-0.6.7, với @asyncapi/specs-6.8.3 được xác định là gói phổ biến thứ hai." "Hai gói này chiếm hơn 60% tổng số lây nhiễm. PostHog, công ty đã cung cấp một báo cáo sau sự cố chi tiết, được cho là 'bệnh nhân số 0' của chiến dịch. Cuộc tấn công bắt nguồn từ một lỗ hổng trong cấu hình quy trình làm việc CI/CD cho phép mã độc từ một pull request chạy với đủ đặc quyền để lấy các bí mật có giá trị cao." Wiz nói thêm: "Tại thời điểm này, đã xác nhận rằng vector truy cập ban đầu trong sự cố này là lạm dụng pull_request_target thông qua yêu cầu PWN." Con worm tự sao chép đã được tìm thấy để đánh cắp cloud credentials và sử dụng chúng để "truy cập các dịch vụ quản lý bí mật cloud-native", cũng như giải phóng mã phá hoại xóa dữ liệu người dùng nếu con worm không thành công trong việc lây lan thêm.

  13. Tin tặc Wi-Fi giả mạo bị tống giam

    Tin tặc ở Perth bị kết án tù vì điều hành mạng Wi-Fi "Evil Twin"

    Michael Clapsis, một người đàn ông Úc 44 tuổi, đã bị kết án hơn bảy năm tù vì thiết lập các điểm truy cập Wi-Fi giả mạo để đánh cắp dữ liệu cá nhân. Bị cáo, người đã bị buộc tội vào tháng 6 năm 2024, đã vận hành các điểm truy cập Wi-Fi miễn phí giả mạo tại các sân bay Perth, Melbourne và Adelaide trong nhiều chuyến bay nội địa và tại nơi làm việc. Hắn ta đã triển khai mạng evil twin để chuyển hướng người dùng đến các trang phishing và thu thập thông tin đăng nhập, sau đó sử dụng thông tin này để truy cập các tài khoản cá nhân và thu thập ảnh, video riêng tư của phụ nữ. Clapsis cũng đã tấn công vào công ty của mình vào tháng 4 năm 2024 và truy cập các email giữa sếp và cảnh sát sau khi bị bắt. Cuộc điều tra đã được khởi động vào tháng đó sau khi một nhân viên hãng hàng không phát hiện một mạng Wi-Fi đáng ngờ trong một chuyến bay nội địa. Cảnh sát Liên bang Úc (AFP) cho biết: "Người đàn ông này đã sử dụng một thiết bị truy cập không dây di động, đôi khi được gọi là Wi-Fi Pineapple, để lắng nghe thụ động các yêu cầu dò tìm thiết bị. Khi phát hiện một yêu cầu, Wi-Fi Pineapple ngay lập tức tạo ra một mạng trùng tên, lừa một thiết bị nghĩ rằng đó là một mạng đáng tin cậy. Thiết bị sau đó sẽ tự động kết nối."

  14. Vụ hack camera quy mô lớn bị phanh phui

    Hàn Quốc bắt giữ nghi phạm đứng sau vụ theo dõi camera IP quy mô lớn

    Các nhà chức trách Hàn Quốc đã bắt giữ bốn cá nhân, được cho là hoạt động độc lập, vì đã cùng nhau xâm nhập hơn 120.000 camera giao thức Internet. Ba trong số các nghi phạm được cho là đã lấy cảnh quay được ghi lại từ nhà riêng và các cơ sở thương mại, bao gồm một phòng khám phụ khoa, và tạo ra hàng trăm tài liệu khai thác tình dục để bán cho một trang web người lớn nước ngoài (được gọi là "Site C"). Ngoài ra, ba cá nhân đã mua nội dung bất hợp pháp từ trang web này đã bị bắt giữ và phải đối mặt với án tù lên đến ba năm.

  15. Hàng ngàn bí mật bị lộ

    Kho lưu trữ công khai trên GitLab làm lộ 17.000 bí mật

    Một cuộc quét khoảng 5,6 triệu kho lưu trữ công khai trên GitLab đã tiết lộ hơn 17.000 bí mật trực tuyến đã được xác minh, theo TruffleHog. Google Cloud Platform (GCP) credentials là loại bí mật bị rò rỉ nhiều nhất trên các kho lưu trữ GitLab, tiếp theo là MongoDB, Telegram bots, OpenAI, OpenWeather, SendGrid và Amazon Web Services. 17.430 bí mật bị rò rỉ thuộc về 2804 miền duy nhất, với bí mật hợp lệ sớm nhất có từ ngày 16 tháng 12 năm 2009.

  16. Các trang web Zendesk giả mạo lừa nạn nhân

    Scattered LAPSUS$ Hunters nhắm mục tiêu người dùng Zendesk bằng các miền giả mạo

    Liên minh tội phạm mạng được gọi là Scattered LAPSUS$ Hunters đã được quan sát nhắm vào các máy chủ Zendesk nhằm đánh cắp dữ liệu doanh nghiệp mà chúng có thể sử dụng cho các hoạt động đòi tiền chuộc. ReliaQuest cho biết họ đã phát hiện hơn 40 tên miền typosquatted và mạo danh, bắt chước các môi trường Zendesk. ReliaQuest cho biết: "Một số miền đang lưu trữ các trang phishing với các cổng single sign-on (SSO) giả mạo được thiết kế để đánh cắp thông tin đăng nhập và lừa dối người dùng." "Chúng tôi cũng có bằng chứng cho thấy các ticket gian lận đang được gửi trực tiếp đến các cổng Zendesk hợp pháp do các tổ chức sử dụng nền tảng này để phục vụ khách hàng. Các đệ trình giả mạo này được tạo ra để nhắm mục tiêu vào nhân viên hỗ trợ và trợ giúp, lây nhiễm cho họ các remote access trojans (RATs) và các loại mã độc khác." Mặc dù các mẫu cơ sở hạ tầng chỉ ra nhóm tội phạm mạng khét tiếng, ReliaQuest cho biết không thể loại trừ khả năng có những kẻ bắt chước được truyền cảm hứng từ thành công của nhóm.

  17. Kỹ năng AI bị lạm dụng cho ransomware

    Vũ khí hóa Claude Skills cho cuộc tấn công MedusaLocker

    Cato Networks đã chứng minh rằng có thể lợi dụng Claude Skills của Anthropic, cho phép người dùng tạo và chia sẻ các module code tùy chỉnh mở rộng khả năng của chatbot AI, để thực hiện một cuộc tấn công ransomware MedusaLocker. Công ty cho biết thử nghiệm cho thấy "cách một Skill đáng tin cậy có thể kích hoạt hành vi ransomware thực sự từ đầu đến cuối trong cùng một ngữ cảnh phê duyệt." "Vì Skills có thể được chia sẻ tự do thông qua các kho lưu trữ công khai và các kênh xã hội, một Skill 'năng suất' thuyết phục có thể dễ dàng được lan truyền thông qua social engineering, biến một tính năng được thiết kế để mở rộng khả năng AI của bạn thành một vector phân phối mã độc." Tuy nhiên, Anthropic đã phản hồi về proof-of-concept (PoC) bằng cách nói rằng tính năng này là theo thiết kế, bổ sung rằng "Skills được thiết kế có chủ đích để thực thi code" và người dùng được hỏi và cảnh báo rõ ràng trước khi chạy một skill. Cato Networks đã lập luận rằng mối quan tâm chính xoay quanh việc tin tưởng skill. Cato Networks lưu ý: "Khi một Skill được phê duyệt, nó sẽ có được các quyền bền vững để đọc/ghi tệp, tải xuống hoặc thực thi code bổ sung và mở các kết nối đi, tất cả mà không cần nhắc nhở hoặc hiển thị thêm. Điều này tạo ra một khoảng trống chấp thuận: người dùng chấp thuận những gì họ thấy, nhưng các trợ giúp ẩn vẫn có thể thực hiện các hành động nhạy cảm phía sau hậu trường."

  18. Stego loader ẩn LokiBot

    Trình tải .NET Steganography phát tán LokiBot

    Một .NET loader đã được quan sát sử dụng các kỹ thuật steganographic để phân phối các remote access trojans khác nhau như Quasar RATLokiBot. Theo Splunk, loader này ngụy trang thành một tài liệu kinh doanh hợp pháp để lừa người dùng giải nén và mở tệp. Sau khi khởi chạy, nó giải mã và tải một module bổ sung trực tiếp vào không gian bộ nhớ được cấp phát của tiến trình. Splunk cho biết LokiBot "chủ yếu nhắm mục tiêu vào Windows (và sau này là các biến thể Android), thu thập thông tin đăng nhập trình duyệt và ứng dụng, ví tiền điện tử và keystrokes, đồng thời có thể cung cấp backdoors cho các payload tiếp theo."

  19. Mã độc Iran lây lan nhanh chóng

    Chi tiết mã độc Nimbus Manticore mới

    Deep Instinct đã phân tích một tệp nhị phân 64-bit có liên quan đến một nhóm hack được gọi là Nimbus Manticore. Nó được biên dịch bằng Microsoft Visual C/C++ và Microsoft Linker. Mã độc này, ngoài việc có các khả năng nâng cao để tải động các thành phần bổ sung trong thời gian chạy và ẩn mình khỏi các công cụ phân tích tĩnh, còn cố gắng di chuyển ngang qua mạng và giành quyền truy cập nâng cao. Công ty cho biết: "Mã độc này không chỉ dừng lại ở một máy tính bị xâm nhập. Nó muốn lây lan, giành quyền truy cập quản trị và tự định vị để tạo ra tác động tối đa trên toàn bộ cơ sở hạ tầng của bạn."

  20. Quyền truy cập khách của Teams bị khai thác

    Threat Actors lợi dụng quyền truy cập khách của Teams để phát tán Quick Assist

    Các threat actors đã được phát hiện mạo danh nhân viên IT trong các cuộc tấn công social engineering qua Microsoft Teams để tiếp cận nạn nhân và lừa họ cài đặt Quick Assist sau khi cung cấp thông tin đăng nhập trên một liên kết phishing được chia sẻ trên nền tảng nhắn tin. Các lệnh cũng được thực thi để tiến hành reconnaissance, command and control (C2) và data exfiltration, cũng như phát tán một infostealer được biên dịch bằng Python. Tuy nhiên, khía cạnh đáng chú ý nhất của cuộc tấn công là nó tận dụng tính năng guest access của Teams để gửi lời mời. CyberProof cho biết: "Vào ngày 4 tháng 11 năm 2025, hoạt động đáng ngờ đã được quan sát trong môi trường của khách hàng thông qua tính năng 'Trò chuyện với bất kỳ ai' của Microsoft Teams, cho phép nhắn tin trực tiếp với người dùng bên ngoài qua địa chỉ email. Một người dùng bên ngoài ([email protected][.]eg) đã liên hệ với người dùng trong Teams, tự xưng là từ bộ phận hỗ trợ IT."

  21. Bản cập nhật Stealer bổ sung Protobufs

    Có gì mới trong Matanbuchus 3.0?

    Một C++ downloader tên Matanbuchus đã được sử dụng trong các chiến dịch phân phối Rhadamanthys information stealer và NetSupport RAT. Lần đầu tiên được quan sát vào năm 2020, mã độc này chủ yếu được thiết kế để tải xuống và thực thi các payload giai đoạn hai. Phiên bản 3.0 của Matanbuchus đã được xác định trong thực tế vào tháng 7 năm 2025. Zscaler cho biết: "Trong phiên bản 3.0, nhà phát triển mã độc đã thêm Protocol Buffers (Protobufs) để serialize dữ liệu liên lạc mạng. Matanbuchus triển khai một số kỹ thuật che giấu để tránh bị phát hiện, chẳng hạn như thêm junk code, chuỗi được mã hóa và giải quyết các chức năng Windows API bằng hash. Các tính năng chống phân tích bổ sung bao gồm một ngày hết hạn được mã hóa cứng để ngăn Matanbuchus chạy vô thời hạn và thiết lập tính bền vững thông qua shellcode được tải xuống tạo ra một scheduled task."

Nếu có một điều mà những câu chuyện này cho thấy, thì đó là an ninh mạng không bao giờ ngủ. Các mối đe dọa có thể nghe có vẻ kỹ thuật, nhưng tác động luôn ảnh hưởng trực tiếp đến chúng ta — tiền bạc, dữ liệu, niềm tin của chúng ta. Luôn cảnh giác và cập nhật thông tin không còn là sự hoang tưởng nữa; đó chỉ đơn giản là lẽ thường tình.

Thẻ liên quan
#an ninh mạng #mã độc #lừa đảo #ransomware #hack Wi-Fi #DeFi #npm #GitLab #AI