Bản Tin ThreatsDay: Lỗ Hổng Zero-Click trên Pixel, C2s ở Trung Quốc, Quảng Cáo RAT, Lừa Đảo Crypto & Hơn 15 Câu Chuyện Khác

Hầu hết các mối đe dọa trong tuần này không dựa vào các thủ thuật mới. Chúng dựa vào các hệ thống quen thuộc hoạt động đúng như thiết kế, nhưng rơi vào tay kẻ xấu. Các tệp thông thường, dịch vụ định kỳ và quy trình làm việc đáng tin cậy đã đủ để mở cửa mà không cần phá vỡ. Điều đáng chú ý là hiện nay kẻ tấn công cần rất ít trở ngại. Một số hoạt động tập trung vào việc tiếp cận và bao phủ một cách âm thầm, trong khi những hoạt động khác chú trọng vào thời gian và tái sử dụng.
Tổng quan các mối đe dọa an ninh mạng tuần này

Hầu hết các mối đe dọa trong tuần này không dựa vào các thủ thuật mới. Chúng dựa vào các hệ thống quen thuộc hoạt động đúng như thiết kế, nhưng rơi vào tay kẻ xấu. Các tệp thông thường, dịch vụ định kỳ và quy trình làm việc đáng tin cậy đã đủ để mở cửa mà không cần phá vỡ.

Điều đáng chú ý là hiện nay kẻ tấn công cần rất ít trở ngại. Một số hoạt động tập trung vào việc tiếp cận và bao phủ một cách âm thầm, trong khi những hoạt động khác chú trọng vào thời gian và tái sử dụng. Trọng tâm không phải là tốc độ hay sự phô trương, mà là kiểm soát đạt được thông qua quy mô, sự kiên nhẫn và lòng tin sai lầm.

Những câu chuyện dưới đây sẽ theo dõi nơi lòng tin bị bẻ cong, chứ không phải nơi nó bị phá vỡ. Mỗi mục là một tín hiệu nhỏ của một sự thay đổi lớn hơn, được nhìn nhận rõ nhất khi xem xét cùng nhau.

  1. Spear-phishing phát tán backdoor tùy chỉnh

    Chiến dịch Nomad Leopard nhắm mục tiêu vào Afghanistan

    Các thực thể chính phủ ở Afghanistan đã trở thành mục tiêu của một chiến dịch spear-phishing mang tên Operation Nomad Leopard. Chiến dịch này sử dụng các tài liệu hành chính giả mạo làm mồi nhử để phân phối một backdoor có tên FALSECUB thông qua tệp ISO được lưu trữ trên GitHub. Chiến dịch lần đầu tiên được phát hiện vào cuối tháng 12 năm 2025. "Tệp ISO chứa ba tệp," Seqrite Lab cho biết. "Tệp LNK, Doc.pdf.lnk, chịu trách nhiệm hiển thị PDF cho nạn nhân và thực thi payload. Tệp PDF, doc.pdf, chứa nội dung lừa đảo theo chủ đề chính phủ." Payload cuối cùng là một tệp thực thi C++ có khả năng nhận lệnh từ một máy chủ bên ngoài. Hoạt động này chưa được quy cho bất kỳ quốc gia cụ thể hay nhóm hacker nào đã biết. Công ty an ninh mạng Ấn Độ này nói thêm: "Chiến dịch này dường như được thực hiện bởi một threat actor tập trung vào khu vực với mức độ tinh vi từ thấp đến trung bình."

  2. Các cuộc tấn công DoS nhằm vào dịch vụ của Vương quốc Anh

    Vương quốc Anh cảnh báo về hoạt động độc hại từ các nhóm hacktivist liên kết với Nga

    Chính phủ Vương quốc Anh đang cảnh báo về hoạt động độc hại tiếp diễn từ các nhóm hacktivist liên kết với Nga như NoName057(16), nhắm mục tiêu vào cơ sở hạ tầng quan trọng và các tổ chức chính quyền địa phương trong nước bằng các cuộc tấn công denial-of-service (DoS). Mục tiêu cuối cùng của các cuộc tấn công này là làm cho các trang web ngừng hoạt động và vô hiệu hóa quyền truy cập vào các dịch vụ thiết yếu. "Mặc dù các cuộc tấn công DoS thường có mức độ tinh vi thấp, một cuộc tấn công thành công có thể làm gián đoạn toàn bộ hệ thống, gây tốn kém đáng kể thời gian, tiền bạc và khả năng phục hồi hoạt động cho các tổ chức khi phải phân tích, phòng thủ và khôi phục từ chúng," Trung tâm An ninh Mạng Quốc gia Vương quốc Anh (NCSC) cho biết.

  3. Ứng dụng đáng tin cậy tải DLL độc hại

    Chiến dịch Stealer mới sử dụng thủ thuật DLL Side-Loading

    VirusTotal thuộc sở hữu của Google đã tiết lộ chi tiết về một chiến dịch đánh cắp thông tin dựa vào một tệp thực thi đáng tin cậy để lừa hệ điều hành tải payload DLL độc hại ("CoreMessaging.dll") – một kỹ thuật được gọi là DLL side-loading – dẫn đến việc thực thi các infostealers giai đoạn hai được thiết kế để đánh cắp dữ liệu nhạy cảm. Cả tệp thực thi và DLL đều được phân phối qua các tệp lưu trữ ZIP giả mạo trình cài đặt cho các ứng dụng hợp pháp như Malwarebytes (ví dụ: "malwarebytes-windows-github-io-6.98.5.zip") và các chương trình khác.

  4. WSL bị lạm dụng mà không cần tạo tiến trình

    Phát hành Beacon Object File cho Windows Subsystem for Linux

    Nhà nghiên cứu Daniel Mayer của SpecterOps đã phát hành một beacon object file (BOF) – một chương trình C được biên dịch để chạy trong bộ nhớ của một tác nhân hậu khai thác như Cobalt Strike Beacon – tương tác với Windows Subsystem for Linux (WSL) bằng cách gọi trực tiếp dịch vụ COM của WSL, hoàn toàn tránh việc tạo tiến trình cho "wsl.exe" và cho phép các nhà điều hành liệt kê tất cả các bản phân phối WSL đã cài đặt và thực thi các lệnh tùy ý trên bất kỳ bản phân phối WSL nào mà BOF tìm thấy.

  5. Quảng cáo đẩy các trình cài đặt RAT ngầm

    Quảng cáo độc hại cho phần mềm chuyển đổi dẫn đến RATs

    Các nhà nghiên cứu an ninh mạng đã tiết lộ một chiến dịch độc hại đang hoạt động sử dụng quảng cáo đặt trên các trang web hợp pháp để dụ người dùng tải xuống các công cụ "chuyển đổi" cho hình ảnh hoặc tài liệu. Các dịch vụ này chia sẻ một mẫu trang web tương tự và có tên như Easy2Convert, ConvertyFile, Infinite Docs và PowerDoc. Nếu người dùng cố gắng tải xuống chương trình, họ sẽ được chuyển hướng đến một miền khác thực sự chứa các tệp dropper C#. "Ở giao diện người dùng, các công cụ này thường hoạt động như đã hứa, vì vậy người dùng không trở nên nghi ngờ," Nextron Systems cho biết. "Tuy nhiên, ở chế độ nền, chúng hoạt động gần như giống hệt nhau: chúng cài đặt các trojan truy cập từ xa (RATs) dai dẳng, cấp cho threat actor quyền truy cập liên tục vào hệ thống nạn nhân." Cụ thể, tệp thực thi được thiết kế để thiết lập tính bền bỉ bằng cách sử dụng một tác vụ đã lên lịch, trỏ đến payload chính, một ứng dụng .NET khởi tạo giao tiếp với một máy chủ từ xa, thực thi các assembly .NET nhận được từ máy chủ và gửi kết quả trở lại thông qua yêu cầu HTTP POST.

  6. Chứng chỉ TLS ngắn hạn được triển khai

    Let's Encrypt cung cấp Chứng chỉ 6 ngày

    Let's Encrypt cho biết các chứng chỉ TLS ngắn hạn có thời hạn 6 ngày của họ hiện đã có sẵn rộng rãi. Mỗi chứng chỉ có hiệu lực trong khoảng thời gian 160 giờ kể từ thời điểm cấp. "Chứng chỉ ngắn hạn là tùy chọn và chúng tôi không có kế hoạch biến chúng thành mặc định vào thời điểm này. Các thuê bao đã tự động hóa hoàn toàn quy trình gia hạn của họ có thể dễ dàng chuyển sang chứng chỉ ngắn hạn nếu muốn, nhưng chúng tôi hiểu rằng không phải ai cũng ở vị trí đó và thoải mái với thời hạn ngắn hơn đáng kể này," Let's Encrypt cho biết. Để yêu cầu một chứng chỉ, các nhà điều hành phải chọn hồ sơ "shortlived" trong ACME client của họ. Chứng chỉ ngắn hạn là tùy chọn và không có kế hoạch biến chúng thành mặc định vào thời điểm này, cơ quan cấp chứng chỉ phi lợi nhuận này cho biết thêm.

  7. Phiếu hỗ trợ bị lạm dụng để gửi spam

    Zendesk cảnh báo về các chiến dịch spam lạm dụng hệ thống hỗ trợ

    Zendesk đã tiết lộ rằng các hệ thống hỗ trợ không được bảo mật đang bị sử dụng để gửi email spam. Các cuộc tấn công này lợi dụng khả năng của Zendesk cho phép người dùng chưa xác minh gửi phiếu hỗ trợ, sau đó tự động tạo email xác nhận được gửi đến địa chỉ email do kẻ tấn công nhập. Hệ thống phản hồi tự động này đang bị vũ khí hóa để biến nền tảng hỗ trợ thành phương tiện gửi thư rác bằng cách tạo các phiếu giả mạo. "Những email này trông giống như các liên hệ hợp pháp từ các công ty sử dụng Zendesk để giao tiếp với khách hàng của họ, và là một chiến thuật spam được gọi là relay spam," nhà cung cấp quản lý quan hệ khách hàng (CRM) cho biết trong một cảnh báo. Công ty mô tả đây là một "tác dụng phụ tiềm ẩn" phát sinh khi Zendesk được thiết lập để cho phép người dùng chưa xác minh gửi yêu cầu, đồng thời cho biết họ đang tích cực làm việc để giảm spam và ngăn chặn các chiến dịch spam mới. Họ cũng đã kêu gọi khách hàng xóa các placeholder cụ thể khỏi các trigger phản hồi đầu tiên và chỉ cho phép người dùng đã thêm gửi phiếu.

  8. EU nhắm mục tiêu vào các nhà cung cấp có rủi ro cao

    EU đề xuất các Quy tắc An ninh Mạng để bảo mật chuỗi cung ứng công nghệ

    Ủy ban Châu Âu đã đề xuất luật an ninh mạng mới bắt buộc loại bỏ các nhà cung cấp có rủi ro cao để bảo mật mạng viễn thông và tăng cường phòng thủ chống lại các nhóm tội phạm mạng và được nhà nước hậu thuẫn nhắm mục tiêu vào cơ sở hạ tầng quan trọng. "Đạo luật An ninh Mạng mới nhằm giảm thiểu rủi ro trong chuỗi cung ứng ICT của EU từ các nhà cung cấp nước thứ ba có liên quan đến an ninh mạng," Ủy ban cho biết. "Nó thiết lập một khuôn khổ an ninh chuỗi cung ứng ICT đáng tin cậy dựa trên cách tiếp cận hài hòa, cân đối và dựa trên rủi ro. Điều này sẽ cho phép EU và các Quốc gia Thành viên cùng nhau xác định và giảm thiểu rủi ro trên 18 lĩnh vực quan trọng của EU, đồng thời xem xét các tác động kinh tế và nguồn cung thị trường." Đạo luật An ninh Mạng sửa đổi cũng dự kiến sẽ đảm bảo rằng các sản phẩm và dịch vụ đến tay người tiêu dùng EU được kiểm tra an ninh một cách hiệu quả hơn thông qua Khung Chứng nhận An ninh Mạng Châu Âu (ECCF). Đạo luật sửa đổi sẽ có hiệu lực ngay lập tức sau khi được Nghị viện Châu Âu và Hội đồng EU phê duyệt. Sau khi được thông qua, các quốc gia thành viên có một năm để thực hiện chỉ thị này thành luật quốc gia.

  9. Quét hàng loạt thăm dò lỗ hổng plugin

    Hoạt động trinh sát Plugin WordPress quy mô lớn được phát hiện

    Công ty tình báo mối đe dọa GreyNoise đã phát hiện một hoạt động trinh sát plugin WordPress quy mô lớn nhằm liệt kê các trang web có khả năng dễ bị tấn công. Hoạt động quét hàng loạt, được quan sát từ ngày 20 tháng 10 năm 2025 đến ngày 19 tháng 1 năm 2026, liên quan đến 994 địa chỉ IP duy nhất trên 145 ASN nhắm mục tiêu vào 706 plugin WordPress khác nhau trong hơn 40.000 sự kiện liệt kê độc đáo. Các plugin bị nhắm mục tiêu nhiều nhất là Post SMTP, Loginizer, LiteSpeed Cache, SEO by Rank Math, Elementor và Duplicator. Hoạt động này đạt mức cao mới vào ngày 7 tháng 12 năm 2025, khi 6.550 phiên duy nhất được ghi lại. Hơn 95% mức tăng đột biến được thúc đẩy bởi một địa chỉ IP duy nhất: 112.134.208[.]214. Người dùng các plugin nói trên được khuyến cáo nên cập nhật chúng thường xuyên.

  10. Lỗ hổng crate lộ diện sớm

    Rust thêm tab "Security" vào Crates.io

    Dự án Rust đã cập nhật Crates.io để bao gồm một tab "Security" trên các trang crate riêng lẻ. Tab này hiển thị các cảnh báo bảo mật được lấy từ cơ sở dữ liệu RustSec và liệt kê các phiên bản của crate có thể có các lỗ hổng đã biết. Thay đổi này giúp các nhà phát triển dễ dàng xem thông tin bảo mật liên quan trước khi thêm crate làm dependency. "Tab hiển thị các lỗ hổng đã biết cho crate cùng với các phạm vi phiên bản bị ảnh hưởng," những người duy trì cho biết. Các cải tiến khác bao gồm hỗ trợ Trusted Publishing mở rộng, hiện hoạt động với GitLab CI/CD ngoài GitHub Actions, và một chế độ Trusted Publishing mới mà, khi được bật, sẽ tắt tính năng publish dựa trên API token truyền thống để giảm nguy cơ publish trái phép từ các API token bị rò rỉ. Trusted Publishing cũng đã được cập nhật để chặn các trigger GitHub Actions pull_request_target và workflow_run. "Các trigger này đã gây ra nhiều sự cố bảo mật trong hệ sinh thái GitHub Actions và không đáng để mạo hiểm," nhóm Crates.io cho biết.

  11. Trung Quốc là nơi chứa số lượng lớn máy chủ C2

    Không gian Internet Trung Quốc chứa hơn 18K máy chủ C2

    Một phân tích mới từ Hunt.io đã tiết lộ rằng không gian Internet Trung Quốc đang lưu trữ hơn 18.000 máy chủ command-and-control (C2 hoặc C&C) đang hoạt động trên 48 nhà cung cấp khác nhau trong ba tháng qua. China Unicom lưu trữ gần một nửa số máy chủ được quan sát, với Alibaba Cloud và Tencent theo sau. Hơn một nửa số máy chủ C2 (khoảng 9.427 IP C2 duy nhất) được sử dụng để điều khiển một botnet IoT được gọi là Mozi. Một phần lớn các máy chủ C2 còn lại được sử dụng cho các hoạt động liên quan đến Cobalt Strike (1.204), Vshell (830) và Mirai (703). "Trên khắp các môi trường lưu trữ của Trung Quốc, một số ít nhà cung cấp viễn thông và đám mây lớn chiếm phần lớn hoạt động command-and-control được quan sát, hỗ trợ mọi thứ từ phần mềm độc hại thương mại và botnet IoT đến các hoạt động phishing và công cụ liên kết với nhà nước," Hunt.io cho biết.

  12. Điều tra gián điệp liên quan quân đội

    Cựu tư vấn IT quân đội bị giam giữ ở Thụy Điển vì bị cáo buộc gián điệp cho Nga

    Một cựu tư vấn IT 33 tuổi của Lực lượng Vũ trang Thụy Điển đã bị giam giữ vì nghi ngờ chuyển thông tin cho cơ quan tình báo của Nga, theo Cơ quan Công tố Thụy Điển. Hoạt động tội phạm bị nghi ngờ diễn ra trong suốt năm 2025 và cho đến ngày 4 tháng 1 năm 2026, nhưng chính quyền Thụy Điển nghi ngờ hoạt động gián điệp có thể đã diễn ra từ năm 2022, khi Nga phát động cuộc xâm lược toàn diện vào Ukraine. Nghi phạm, người đã phủ nhận mọi hành vi sai trái, đã làm tư vấn IT cho quân đội Thụy Điển từ năm 2018 đến năm 2022, theo AFP. Cuộc điều tra được cho là vẫn đang trong giai đoạn đầu. Vào tháng 2 năm 2021, một tư vấn công nghệ 47 tuổi người Thụy Điển đã bị buộc tội gián điệp vì bị cáo buộc bán thông tin về nhà sản xuất xe tải Scania và Volvo Cars cho một nhà ngoại giao Nga trong vài năm. Ông bị kết án ba năm tù sau đó vào tháng 9.

  13. Nền tảng chuỗi cung ứng bị phơi bày hoàn toàn

    Lỗ hổng bảo mật trong Bluvoyix

    Các lỗ hổng nghiêm trọng (từ CVE-2026-22236 đến CVE-2026-22240) đã được tiết lộ trong nền tảng Bluvoyix của Bluspark Global, một giải pháp dựa trên đám mây được sử dụng để giúp các nhà vận chuyển quản lý dữ liệu chuỗi cung ứng của họ. Các lỗ hổng này có thể cho phép một bad actor giành quyền kiểm soát hoàn toàn nền tảng và truy cập dữ liệu khách hàng và vận chuyển. Chúng có thể cho phép truy cập vào tài khoản khách hàng và theo dõi vận chuyển hàng hóa và linh kiện, cũng như cho phép truy cập hoàn toàn vào API của nền tảng mà không cần xác thực. Lỗ hổng này có thể đã bị vũ khí hóa để tạo tài khoản quản trị viên cho việc khai thác tiếp theo. Các lỗ hổng đã được vá kể từ đó, nhưng không phải trước một quá trình tiết lộ kéo dài. Nhà nghiên cứu bảo mật Eaton Zveare, người đã trước đây phát hiện các lỗ hổng bảo mật trong các nền tảng được các công ty ô tô sử dụng, cho biết "quyền truy cập quản trị đã giúp có thể xem, sửa đổi và thậm chí hủy các lô hàng của khách hàng từ năm 2007."

  14. Các vụ lừa đảo Crypto đạt quy mô kỷ lục

    Ước tính 17 tỷ USD bị đánh cắp trong các vụ lừa đảo và gian lận Crypto vào năm 2025

    Các vụ lừa đảo tiền điện tử đã nhận ít nhất 14 tỷ USD giá trị tiền điện tử vào năm 2025, tăng từ 12 tỷ USD được báo cáo vào năm trước. Khoản thanh toán lừa đảo trung bình được lấy từ nạn nhân cũng tăng từ 782 USD lên 2.764 USD. Đầu tư lợi suất cao và lừa đảo "pig butchering" vẫn là các danh mục chiếm ưu thế nhất về khối lượng, ngay cả khi các vụ lừa đảo mạo danh – bao gồm những kẻ lừa đảo giả danh các tổ chức hợp pháp như E-ZPass để thao túng nạn nhân chuyển tiền – đã tăng 1.400%. Dựa trên các xu hướng lịch sử, con số năm 2025 dự kiến sẽ vượt 17 tỷ USD khi nhiều địa chỉ ví bất hợp pháp được xác định trong những tháng tới, Chainalysis cho biết. Những kẻ lừa đảo ngày càng tận dụng công nghệ deepfake và nội dung do AI tạo ra để tạo ra các màn mạo danh thuyết phục trong các vụ lừa đảo tình cảm và đầu tư. "Các hoạt động lừa đảo lớn ngày càng được công nghiệp hóa, với cơ sở hạ tầng tinh vi, bao gồm các công cụ phishing-as-a-service, deepfake do AI tạo ra và mạng lưới rửa tiền chuyên nghiệp," công ty cho biết. "Các mạng lưới 'pig-butchering' trên khắp Đông Nam Á, dựa nhiều vào CMLNs [mạng lưới rửa tiền Trung Quốc], tạo ra hàng tỷ USD mỗi năm và dựa vào cấu trúc ví phân lớp, sàn giao dịch, công ty vỏ bọc và các kênh ngân hàng không chính thức để rửa tiền và chuyển đổi tiền điện tử thành tài sản thế giới thực, bao gồm bất động sản và hàng xa xỉ."

  15. Phá dỡ đường dây malware ATM

    5 công dân Venezuela nhận tội tấn công ATM jackpotting

    Một nhóm gồm năm công dân Venezuela đã nhận tội hoặc bị kết án vì liên quan đến các vụ trộm cắp ATM jackpotting đa bang từ ngày 14 đến 16 tháng 9 năm 2024, sử dụng malware tinh vi để đánh cắp hàng nghìn đô la trên khắp Georgia, Florida và Kentucky. Nhóm, bao gồm Hector Alejandro Alvarado Alvarez (20), Cesar Augusto Gil Sanchez (22), Javier Alejandro Suarez-Godoy (20), David Josfrangel Suarez-Sanchez (24) và Giobriel Alexander Valera-Astudillo (26), đã nhắm mục tiêu vào các tổ chức tài chính khác nhau bằng cách triển khai malware hoặc truy cập chế độ giám sát của ATM để kích hoạt rút tiền mặt. Các thành viên của nhóm đã bị bắt gặp trên camera thực hiện các cuộc tấn công và được xác định dựa trên dấu vân tay để lại trên máy ATM. Họ đối mặt với án tù lên đến 30 năm, sau đó là trục xuất ngay lập tức.

  16. Chuỗi Zero-click tấn công Pixel

    Google trình bày chi tiết exploit Zero-Click trên Pixel 9

    Google Project Zero đã phát hành một exploit zero-click (Phần 1, Phần 2, và Phần 3) có thể xâm phạm điện thoại thông minh Android thông qua bộ giải mã âm thanh Dolby. Exploit này khả thi vì ứng dụng Google Messages tự động xử lý các tệp đính kèm âm thanh đến trong nền cho mục đích sao chép và giải mã chúng mà không yêu cầu tương tác của người dùng. Exploit này lợi dụng CVE-2025-54957 để đạt được quyền thực thi mã tùy ý trong ngữ cảnh mediacodec của Google Pixel 9, và sau đó sử dụng CVE-2025-36934, một lỗi use-after-free trong driver BigWave, để leo thang đặc quyền từ mediacodec lên kernel trên thiết bị. "Thời gian đầu tư cần thiết để tìm các lỗ hổng cần thiết là nhỏ so với tác động của exploit này, đặc biệt là đối với giai đoạn leo thang đặc quyền," nhà nghiên cứu Natalie Silvanovich cho biết. "Thời gian cần thiết để tìm các lỗi cho một chuỗi exploit 0-click trên Android gần như chắc chắn có thể được đo bằng tuần làm việc của một người đối với một kẻ tấn công có nguồn lực tốt." Mặc dù Dolby đã vá lỗi vào tháng 10 năm 2025, Samsung là nhà cung cấp di động đầu tiên vá lỗ hổng vào tháng sau. Các thiết bị Pixel không nhận được bản vá cho đến ngày 5 tháng 1 năm 2026. Lỗi driver BigWave đã được chuyển đến các thiết bị Pixel vào ngày 6 tháng 1 năm 2026.

  17. Quảng cáo độc hại gieo rắc infostealer

    Malvertising được sử dụng để phát tán TamperedChef Infostealer

    Một chiến dịch malvertising được Sophos phát hiện vào tháng 9 năm 2025 đã sử dụng Google Ads để chuyển hướng nạn nhân đến các trang web lừa đảo quảng bá một ứng dụng chỉnh sửa PDF trojan hóa có tên AppSuite PDF Editor. Ứng dụng này, sau khi cài đặt, xuất hiện hợp pháp đối với người dùng, nhưng lén lút phát tán một information stealer có tên TamperedChef nhắm mục tiêu vào các thiết bị Windows. Cụm mối đe dọa đang phát triển tích cực này được biết đến là sử dụng các chiến thuật như thực thi trì hoãn, nằm im khoảng 56 ngày trước khi kích hoạt hành vi infostealer để đảm bảo tính dai dẳng. Khoảng thời gian này phù hợp với chu kỳ 30-60 ngày điển hình của các chiến dịch quảng cáo trả phí. TamperedChef được đánh giá là một phần của một chiến dịch rộng lớn hơn được gọi là EvilAI. Theo dữ liệu đo từ xa thu thập bởi công ty an ninh mạng, hơn 100 hệ thống đã bị ảnh hưởng bởi chiến dịch này, với phần lớn nạn nhân ở Đức (~15%), Vương quốc Anh (~14%) và Pháp (~9%). "Nạn nhân của chiến dịch này trải rộng trên nhiều ngành công nghiệp, đặc biệt là những ngành có hoạt động phụ thuộc nhiều vào thiết bị kỹ thuật chuyên dụng – có thể là do người dùng trong các ngành đó thường xuyên tìm kiếm hướng dẫn sản phẩm trực tuyến, một hành vi mà chiến dịch TamperedChef khai thác để phân phối phần mềm độc hại," công ty cho biết.

    Biểu đồ phân tích hoạt động độc hại

  18. Tệp PNG ẩn JS stealer

    Hóa đơn Dược phẩm giả phân phối PureLogs Stealer

    Một chiến dịch phishing mới đã được quan sát thấy sử dụng các hóa đơn dược phẩm giả để lừa người nhận mở các tệp lưu trữ ZIP chứa JavaScript mà, khi thực thi, sử dụng PowerShell để tải xuống một hình ảnh PNG độc hại được lưu trữ trên Internet Archive. "Nhưng đây thực sự không phải là một tệp PNG tiêu chuẩn. Chà, đúng vậy, nhưng có thêm phần mở rộng," Swiss Post Cybersecurity cho biết. "Những kẻ tấn công đã nhúng một payload được mã hóa Base64 sau chunk IEND của PNG, đánh dấu sự kết thúc chính thức của dữ liệu hình ảnh. Tệp vẫn được hiển thị dưới dạng hình ảnh hợp lệ trong bất kỳ trình xem nào. Phần mềm độc hại thực sự nằm giữa hai dấu hiệu tùy chỉnh, BaseStart- và -BaseEnd." Payload được trích xuất giữa các dấu hiệu này được sử dụng để khởi chạy một malware loader được gọi là VMDetectLoader, chịu trách nhiệm cho tính bền bỉ, kiểm tra môi trường và khởi chạy PureLogs Stealer, một stealer thương mại được phát triển bởi một threat actor được gọi là PureCoder. Điều đáng chú ý là VMDetectLoader đã từng được sử dụng để phân phối DCRat trong các cuộc tấn công nhắm mục tiêu vào Colombia.

  19. Mồi nhử khoản vay thu thập dữ liệu ngân hàng

    Các vụ lừa đảo khoản vay giả mạo ở Peru

    Một hoạt động phishing khoản vay quy mô lớn ở Peru đã được phát hiện lạm dụng các lời mời cho vay giả mạo để thu thập thông tin cá nhân và ngân hàng nhạy cảm (chi tiết thẻ ngân hàng, mật khẩu ngân hàng trực tuyến và mã PIN 6 chữ số) từ những người dùng không nghi ngờ. Chiến dịch được lan truyền thông qua quảng cáo trên mạng xã hội. Các threat actor đứng sau hoạt động này đã tạo ra khoảng 370 miền duy nhất giả mạo các ngân hàng ở Peru, Colombia, El Salvador, Chile và Ecuador kể từ năm 2024. "Phishing cụ thể này nhắm mục tiêu vào các cá nhân thông qua một quy trình đăng ký khoản vay có vẻ hợp pháp, được thiết kế để thu thập thông tin đăng nhập thẻ hợp lệ và mã PIN tương ứng," Group-IB cho biết. "Các thông tin đăng nhập này sau đó được bán trên thị trường chợ đen hoặc được sử dụng trong các hoạt động phishing tiếp theo." Ngay sau khi các chi tiết được nhập vào các trang web giả mạo, một script chạy trong nền trên trang web sẽ xác thực thông tin bằng cách sử dụng thuật toán Luhn để đảm bảo rằng chi tiết thẻ tín dụng và số nhận dạng chính phủ được nhập là chính xác.

  20. Trình cài đặt giả mạo bán băng thông

    Proxyware giả mạo Notepad++

    Một threat actor được theo dõi là Larva-25012 đang sử dụng một trình cài đặt Notepad++ giả mạo làm mồi nhử để phân phối proxyware trong các cuộc tấn công nhắm mục tiêu vào Hàn Quốc. Các trình cài đặt này, được viết bằng C++ và lưu trữ trên GitHub, được quảng bá thông qua các trang quảng cáo trên các trang web giả làm cổng tải xuống phần mềm crack hoặc phần mềm bất hợp pháp khác. "Các trình cài đặt này thả malware downloader DPLoader. Sau khi được đăng ký trong Windows Task Scheduler, DPLoader thực thi dai dẳng và lấy lệnh từ máy chủ C&C của nó. Tất cả các script PowerShell được quan sát cho đến nay đều bao gồm logic để cài đặt các công cụ Proxyware khác nhau," AhnLab cho biết. "Ngoài ra, kẻ tấn công đang tích cực thay đổi các kỹ thuật để né tránh phát hiện -- chẳng hạn như tiêm Proxyware vào tiến trình Windows Explorer hoặc tận dụng các loader dựa trên Python." Mục tiêu của các cuộc tấn công này là cài đặt proxyware trên máy của nạn nhân mà họ không hề hay biết, và kiếm tiền từ băng thông Internet không sử dụng của họ bằng cách bán nó cho các bên thứ ba. Larva-25012 được đánh giá là hoạt động từ ít nhất năm 2024, phân phối nhiều loại proxyware, bao gồm DigitalPulse, Honeygain và Infatica.

Tổng hợp lại, các sự cố này cho thấy lớp "nền tảng" công nghệ đã nhanh chóng trở thành tuyến đầu như thế nào. Những điểm yếu nhất không phải là các exploit lạ lẫm, mà là những không gian mà mọi người ngừng để ý khi hệ thống đã cảm thấy ổn định.

Điều rút ra không phải là một mối đe dọa hay giải pháp duy nhất. Đó là một mô hình: lỗ hổng tích tụ âm thầm, sau đó bộc lộ tất cả cùng một lúc. Danh sách đầy đủ này khiến mô hình đó khó bị bỏ qua.

Thẻ liên quan
#an ninh mạng #mối đe dọa #Zero-Click #malware #phishing #RAT #crypto scams #chuỗi cung ứng