Tội phạm không cần phải thông minh mọi lúc; chúng chỉ đi theo con đường dễ nhất: lừa đảo người dùng, khai thác các thành phần lỗi thời hoặc lạm dụng các hệ thống đáng tin cậy như OAuth và các kho lưu trữ gói. Nếu hệ thống hoặc thói quen của bạn làm cho bất kỳ điều nào trong số đó trở nên dễ dàng, bạn đã là mục tiêu.
Các điểm nổi bật của ThreatsDay tuần này cho thấy chính xác cách những điểm yếu đó đang bị khai thác — từ các cấu hình sai bị bỏ qua đến các chuỗi tấn công mới tinh vi biến các công cụ thông thường thành điểm truy cập mạnh mẽ.
Lumma Stealer gặp khó khăn sau vụ Doxxing Drama
Hoạt động của Lumma Stealer suy giảm sau chiến dịch Doxxing
Hoạt động của mã độc đánh cắp thông tin Lumma Stealer (hay còn gọi là Water Kurita) đã chứng kiến một "sự sụt giảm đột ngột" kể từ tháng trước sau khi danh tính của năm thành viên cốt lõi bị cáo buộc bị lộ. Đây là một phần của chiến dịch phơi bày dưới lòng đất mạnh mẽ có tên Lumma Rats từ cuối tháng 8 năm 2025. Các cá nhân bị nhắm mục tiêu có liên quan đến việc phát triển và quản lý phần mềm độc hại, với thông tin nhận dạng cá nhân (PII), hồ sơ tài chính, mật khẩu và hồ sơ mạng xã hội của họ bị rò rỉ trên một trang web chuyên biệt. Kể từ đó, các tài khoản Telegram của Lumma Stealer được cho là đã bị xâm nhập vào ngày 17 tháng 9, tiếp tục cản trở khả năng giao tiếp với khách hàng và điều phối hoạt động của chúng. Những hành động này đã khiến khách hàng chuyển sang các mã độc đánh cắp khác như Vidar và StealC. Người ta tin rằng chiến dịch doxxing được thúc đẩy bởi sự cạnh tranh nội bộ.
"Chiến dịch phơi bày đi kèm với các mối đe dọa, cáo buộc phản bội trong cộng đồng tội phạm mạng và tuyên bố rằng nhóm Lumma Stealer đã ưu tiên lợi nhuận hơn là bảo mật hoạt động của khách hàng," Trend Micro cho biết. "Sự nhất quán và chiều sâu của chiến dịch cho thấy kiến thức nội bộ hoặc quyền truy cập vào các tài khoản và cơ sở dữ liệu bị xâm nhập."
Mặc dù Lumma Stealer đã gặp phải một trở ngại vào đầu năm nay sau khi cơ sở hạ tầng của nó bị chiếm giữ trong một nỗ lực phối hợp của cơ quan thực thi pháp luật, nhưng nó đã nhanh chóng xuất hiện trở lại và tiếp tục hoạt động. Nhìn theo khía cạnh đó, diễn biến mới nhất có thể đe dọa khả năng thương mại và làm tổn hại niềm tin của khách hàng. Diễn biến này trùng hợp với sự xuất hiện của Vidar Stealer 2.0, đã được viết lại hoàn toàn từ đầu bằng C, cùng với việc hỗ trợ kiến trúc đa luồng để truyền dữ liệu nhanh hơn, hiệu quả hơn và cải thiện khả năng né tránh. Nó cũng kết hợp các phương pháp trích xuất thông tin đăng nhập nâng cao để bỏ qua các biện pháp bảo vệ mã hóa ràng buộc ứng dụng của Google Chrome bằng cách sử dụng các kỹ thuật đưa bộ nhớ (memory injection), và tự hào về một trình tạo đa hình tự động để tạo ra các mẫu với các chữ ký nhị phân khác biệt, làm cho các phương pháp phát hiện tĩnh trở nên khó khăn hơn.
"Phiên bản mới của Vidar sử dụng nhiều kỹ thuật làm phẳng luồng điều khiển (control flow flattening), triển khai các cấu trúc switch-case phức tạp với các máy trạng thái số có thể làm cho việc đảo ngược kỹ thuật trở nên khó khăn hơn," Trend Micro cho biết.
Quảng cáo giả mạo lợi dụng lòng tin vào cơ quan chức năng
Singapore bị nhắm mục tiêu bởi hoạt động lừa đảo đầu tư quy mô lớn
Một chiến dịch lừa đảo quy mô lớn đã mạo danh hình ảnh và danh tiếng của các quan chức chính phủ Singapore để lừa gạt công dân và cư dân Singapore tham gia vào một nền tảng đầu tư gian lận.
"Chiến dịch lừa đảo dựa vào Google Ads trả phí, các trang web chuyển hướng trung gian được thiết kế để che giấu hoạt động gian lận và độc hại, cùng các trang web giả mạo rất thuyết phục," Group-IB cho biết. "Nạn nhân cuối cùng được chuyển hướng đến một nền tảng đầu tư ngoại hối đã đăng ký tại Mauritius, hoạt động dưới một thực thể pháp lý có vẻ hợp pháp với giấy phép đầu tư chính thức. Cấu trúc này tạo ra ảo ảnh về sự tuân thủ trong khi vẫn cho phép hoạt động gian lận xuyên biên giới."
Trên các nền tảng lừa đảo này, nạn nhân được thúc giục điền thông tin cá nhân của họ, sau đó họ bị theo đuổi ráo riết qua các cuộc gọi điện thoại để gửi số tiền đáng kể. Tổng cộng, 28 tài khoản nhà quảng cáo đã được xác minh đã được những kẻ lừa đảo sử dụng để chạy các chiến dịch Google Ads độc hại. Việc phân phối quảng cáo được quản lý chủ yếu thông qua các tài khoản nhà quảng cáo đã được xác minh được đăng ký cho các cá nhân cư trú ở Bulgaria, Romania, Latvia, Argentina và Kazakhstan. Những quảng cáo này được cấu hình sao cho chúng chỉ được phục vụ cho những người tìm kiếm hoặc duyệt từ địa chỉ IP của Singapore. Để tăng cường tính hợp pháp của vụ lừa đảo, các tác nhân đe dọa đã tạo ra 119 tên miền độc hại mạo danh các hãng tin tức chính thống và uy tín như CNA và Yahoo! News.
Nhà phát triển giả mạo đầu độc chuỗi cung ứng mã nguồn mở
Gói npm độc hại thả AdaptixC2
Các nhà nghiên cứu an ninh mạng đã phát hiện một gói npm độc hại có tên "https-proxy-utils" được thiết kế để tải xuống và thực thi một payload từ một máy chủ bên ngoài (cloudcenter[.]top) chứa framework khai thác sau xâm nhập AdaptixC2 bằng cách sử dụng một script post-install. Nó có khả năng nhắm mục tiêu vào các hệ thống Windows, Linux và macOS, sử dụng các kỹ thuật cụ thể theo OS để tải và khởi chạy mã độc. Sau khi triển khai, tác nhân có thể được sử dụng để điều khiển máy từ xa, thực thi lệnh và duy trì quyền truy cập. Theo dữ liệu từ ReversingLabs, gói này đã được một người dùng có tên "bestdev123" tải lên npm vào ngày 28 tháng 7 năm 2025. Nó có 57 lượt tải xuống được ghi nhận. Gói này hiện không còn khả dụng trên kho lưu trữ npm. Mặc dù kẻ tấn công lạm dụng các công cụ bảo mật cho các mục đích xấu không phải là hiện tượng mới, nhưng việc kết hợp nó với các gói giả mạo trên các kho lưu trữ mã nguồn mở làm cho người dùng phải đối mặt với rủi ro chuỗi cung ứng.
"Gói độc hại này một lần nữa nhấn mạnh rằng các nhà phát triển phải hết sức thận trọng khi lựa chọn những gì để cài đặt và phụ thuộc vào, vì bối cảnh chuỗi cung ứng chứa đầy hàng nghìn gói — thường có tên gọi tương tự một cách lừa dối — khiến việc phân biệt các thành phần hợp pháp với những kẻ giả mạo độc hại trở nên không hề đơn giản," Henrik Plate, chuyên gia an ninh mạng tại Endor Labs, cho biết. "Ngoài ra, họ nên cân nhắc việc tắt các hook post-installation, để ngăn chặn phần mềm độc hại bị thực thi khi cài đặt, ví dụ, bằng cách sử dụng tùy chọn --ignore-scripts của npm, hoặc bằng cách sử dụng pnpm, đã bắt đầu tắt việc sử dụng các script vòng đời theo mặc định."
Cổng thanh toán tiền mã hóa bị phạt kỷ lục
Cryptomus bị phạt 176 triệu USD tại Canada
Các cơ quan quản lý tài chính ở Canada đã ban hành khoản phạt 176 triệu USD đối với Xeltox Enterprises Ltd. (hay còn gọi là Cryptomus và Certa Payments Ltd.), một nền tảng thanh toán kỹ thuật số hỗ trợ hàng chục sàn giao dịch tiền điện tử của Nga và các trang web cung cấp dịch vụ tội phạm mạng, theo Brian Krebs, nhà báo an ninh. FINTRAC cho biết dịch vụ này "đã không gửi báo cáo giao dịch đáng ngờ cho các giao dịch mà có cơ sở hợp lý để nghi ngờ rằng chúng có liên quan đến việc rửa tiền thu được từ việc buôn bán tài liệu lạm dụng tình dục trẻ em, gian lận, thanh toán ransomware và trốn tránh lệnh trừng phạt." Cơ quan này cho biết họ đã tìm thấy 1.068 trường hợp Cryptomus không gửi báo cáo cho các giao dịch tháng 7 năm 2024 liên quan đến các darknet markets đã biết và ví tiền ảo có liên hệ với hoạt động tội phạm.
Chiến dịch trấn áp Starlink nhắm vào các trung tâm lừa đảo Đông Nam Á
SpaceX vô hiệu hóa thiết bị Starlink liên kết với các nhà máy lừa đảo khi các quốc gia Đông Nam Á tăng cường áp lực
SpaceX cho biết họ đã vô hiệu hóa hơn 2.500 thiết bị Starlink được kết nối với các khu phức hợp lừa đảo ở Myanmar. Hiện tại vẫn chưa rõ khi nào các thiết bị này bị ngắt kết nối. Diễn biến này diễn ra ngay sau các hành động đang diễn ra để trấn áp các trung tâm lừa đảo trực tuyến, với quân đội Myanmar tiến hành các cuộc đột kích vào một điểm nóng lừa đảo ở một khu vực do phiến quân kiểm soát ở miền đông Myanmar, bắt giữ hơn 2.000 người và thu giữ hàng chục thiết bị internet vệ tinh Starlink tại KK Park, một trung tâm tội phạm mạng rộng lớn ở phía nam Myawaddy. Vào tháng 2 năm 2025, chính phủ Thái Lan đã cắt nguồn cung cấp điện cho ba khu vực ở Myanmar là Myawaddy, Payathonzu và Tachileik, những nơi đã trở thành thiên đường cho các băng nhóm tội phạm đã ép buộc hàng trăm nghìn người ở Đông Nam Á và các nơi khác tham gia vào các hoạt động lừa đảo trực tuyến, bao gồm các chiêu trò lãng mạn giả, cơ hội đầu tư lừa đảo và các kế hoạch cờ bạc bất hợp pháp. Các hoạt động này đã thành công lớn, lôi kéo hàng trăm nghìn lao động và thu về hàng chục tỷ đô la mỗi năm từ các nạn nhân, theo ước tính của Liên Hợp Quốc. Các trung tâm lừa đảo xuất hiện từ Campuchia, Thái Lan và Myanmar kể từ đại dịch COVID-19, nhưng sau đó đã lan rộng sang các khu vực khác trên thế giới như Châu Phi. Công nhân tại các "trại lao động" thường được tuyển dụng và buôn bán dưới lời hứa về các công việc được trả lương cao và sau đó bị giam giữ với các mối đe dọa bạo lực. Trong những tháng gần đây, các cơ quan thực thi pháp luật đã tăng cường nỗ lực, bắt giữ hàng trăm nghi phạm trên khắp châu Á và trục xuất một số trong số họ. Theo Global New Light of Myanmar, tổng cộng 9.551 công dân nước ngoài nhập cảnh trái phép vào Myanmar đã bị bắt giữ từ ngày 30 tháng 1 đến ngày 19 tháng 10 năm 2025, với 9.337 người bị trục xuất về nước. Đầu tuần này, các quan chức cảnh sát Hàn Quốc đã chính thức bắt giữ 50 người Hàn Quốc được hồi hương từ Campuchia với cáo buộc họ làm việc cho các tổ chức lừa đảo trực tuyến ở quốc gia Đông Nam Á này. Campuchia và Hàn Quốc gần đây đã đồng ý hợp tác trong việc chống lại các vụ lừa đảo trực tuyến sau cái chết của một sinh viên Hàn Quốc được cho là đã bị buộc phải làm việc trong một trung tâm lừa đảo ở Campuchia. Cái chết của sinh viên 22 tuổi này cũng đã thúc đẩy Hàn Quốc, được cho là đang chuẩn bị các lệnh trừng phạt đối với các nhóm hoạt động ở Campuchia, ban hành lệnh cấm đi lại "code black" đến một số khu vực của đất nước, với lý do số lượng các trường hợp bị giam giữ và "việc làm gian lận" gia tăng gần đây. Hơn 1.000 người Hàn Quốc được cho là nằm trong số khoảng 200.000 người thuộc các quốc tịch khác nhau đang làm việc trong ngành công nghiệp lừa đảo của Campuchia.
ID dễ đoán khiến các phiên trò chuyện AI bị chiếm quyền
Lỗ hổng bảo mật trong Oat++ MCP
Một lỗ hổng bảo mật trong triển khai Oat++ của Model Context Protocol (MCP) của Anthropic có thể cho phép kẻ tấn công dự đoán hoặc chiếm đoạt các session ID từ các cuộc trò chuyện AI đang hoạt động, chiếm quyền các phiên MCP và tiêm các phản hồi độc hại thông qua máy chủ oatpp-mcp. Lỗ hổng này, được đặt tên là Prompt Hijacking, đang được theo dõi là CVE-2025-6515 (điểm CVSS: 6.8). Mặc dù session ID được tạo ra được sử dụng với các phương thức vận chuyển Server-Sent Events (SSE) transports được thiết kế để định tuyến phản hồi từ máy chủ MCP đến client và phân biệt giữa các phiên client MCP khác nhau, cuộc tấn công lợi dụng thực tế là SSE không yêu cầu các session ID phải là duy nhất và an toàn về mặt mật mã (một yêu cầu được thực thi trong đặc tả Streamable HTTP mới hơn) để cho phép một tác nhân đe dọa có được một session ID hợp lệ gửi các yêu cầu độc hại đến máy chủ MCP, cho phép họ chiếm quyền các phản hồi và chuyển tiếp một phản hồi đã bị đầu độc trở lại client.
"Một khi một session ID được sử dụng lại, kẻ tấn công có thể gửi các yêu cầu POST bằng cách sử dụng ID bị chiếm quyền, ví dụ – Yêu cầu công cụ, kích hoạt các prompt hoặc tiêm lệnh, và máy chủ sẽ chuyển tiếp các phản hồi có liên quan đến kết nối GET đang hoạt động của nạn nhân ngoài các phản hồi được tạo ra cho các yêu cầu gốc của nạn nhân," JFrog cho biết.
Lạm dụng OAuth biến quyền truy cập đám mây thành cửa hậu ẩn
Các tác nhân đe dọa sử dụng ứng dụng OAuth độc hại để duy trì truy cập
Proofpoint đã phát triển một bộ công cụ tự động có tên Fassa (viết tắt của "Future Account Super Secret Access"), chứng minh các phương pháp mà các tác nhân đe dọa thiết lập quyền truy cập liên tục thông qua các ứng dụng OAuth độc hại. Công cụ này chưa được công bố rộng rãi.
"Giá trị chiến lược của phương pháp này nằm ở cơ chế duy trì quyền truy cập của nó: ngay cả khi thông tin đăng nhập của người dùng bị xâm phạm được đặt lại hoặc xác thực đa yếu tố được thực thi, các ứng dụng OAuth độc hại vẫn duy trì quyền truy cập được ủy quyền của chúng," công ty bảo mật doanh nghiệp cho biết. "Điều này tạo ra một cửa hậu bền bỉ có thể không bị phát hiện trong môi trường vô thời hạn, trừ khi được xác định và khắc phục cụ thể."
Trong một cuộc tấn công thực tế được Proofpoint quan sát, các tác nhân đe dọa đã được phát hiện chiếm quyền kiểm soát các tài khoản Microsoft bằng cách sử dụng một adversary-in-the-middle (AiTM) phishing kit được gọi là Tycoon, sau đó tạo các quy tắc hộp thư độc hại và đăng ký một ứng dụng OAuth bên thứ hai (hay còn gọi là nội bộ) có tên "test" để cho phép truy cập liên tục vào hộp thư của nạn nhân ngay cả sau khi mật khẩu được đặt lại.
Lỗ hổng quản trị viên phơi bày dữ liệu tài xế Formula 1
Hack Formula 1
Các nhà nghiên cứu an ninh mạng Gal Nagli, Ian Carroll và Sam Curry đã công bố một lỗ hổng nghiêm trọng trong cổng Driver Categorisation ("driverscategorisation.fia[.]com") quan trọng do Liên đoàn Ô tô Quốc tế (FIA) quản lý, có thể cho phép truy cập dữ liệu nhạy cảm liên quan đến mọi tài xế Formula 1 (F1), bao gồm hộ chiếu, giấy phép lái xe và thông tin cá nhân. Mặc dù cổng thông tin cho phép bất kỳ cá nhân nào mở tài khoản, cùng với việc cung cấp các tài liệu hỗ trợ, các nhà nghiên cứu đã phát hiện ra rằng việc gửi một yêu cầu được tạo đặc biệt trong đó họ đảm nhận vai trò "ADMIN" là đủ để lừa hệ thống gán quyền quản trị cho một tài khoản mới được tạo, sử dụng đó kẻ tấn công có thể truy cập hồ sơ tài xế chi tiết. Sau khi công bố có trách nhiệm vào ngày 3 tháng 6 năm 2025, một bản vá toàn diện cho lỗi đã được triển khai vào ngày 10 tháng 6.
"[Lỗ hổng là] 'Mass Assignment' – một lỗ hổng bảo mật web/api cổ điển," Nagli cho biết. "Nói một cách đơn giản: Máy chủ tin tưởng bất cứ điều gì chúng tôi gửi đến, mà không kiểm tra xem chúng tôi có ĐƯỢC PHÉP thay đổi các trường đó hay không."
Các tác nhân điều khiển bằng AI thúc đẩy phản ứng với mối đe dọa mạng
Google ra mắt nền tảng Agentic mới để phân tích và ứng phó với mối đe dọa
Google đã ra mắt một nền tảng agentic toàn diện với mục tiêu tăng tốc phân tích và ứng phó với mối đe dọa. Nền tảng này, có sẵn dưới dạng xem trước cho khách hàng Google Threat Intelligence Enterprise và Enterprise+, cung cấp cho người dùng một bộ tác nhân chuyên biệt cho cyber threat intelligence (CTI) và malware analysis.
"Khi bạn đặt câu hỏi, nền tảng sẽ chọn tác nhân và công cụ tốt nhất một cách thông minh để tạo câu trả lời của bạn, xem xét mọi thứ từ web mở và OSINT đến web sâu và web tối cũng như các báo cáo mối đe dọa do chúng tôi tuyển chọn," Google cho biết.
Trong trường hợp truy vấn là về một tệp độc hại, nó sẽ định tuyến nhiệm vụ đến tác nhân phân tích phần mềm độc hại của mình để cung cấp "thông tin chính xác và phù hợp nhất." Gã khổng lồ công nghệ cho biết nền tảng này được thiết kế để khám phá các kết nối ẩn tồn tại giữa các tác nhân đe dọa, lỗ hổng, các họ phần mềm độc hại và các chiến dịch bằng cách khai thác bộ dữ liệu bảo mật toàn diện của Google Threat Intelligence.
Email mồi SVG dẫn đến trang đăng nhập Microsoft giả mạo
Bộ công cụ lừa đảo Tykit mới được phân tích
Một bộ công cụ lừa đảo mới có tên Tykit đang được sử dụng để phục vụ các trang đăng nhập Microsoft 365 giả mạo mà người dùng được chuyển hướng đến thông qua các tin nhắn email chứa các tệp SVG dưới dạng tệp đính kèm. Sau khi mở, tệp SVG thực thi mã JavaScript "trampoline" để đưa nạn nhân đến trang lừa đảo, nhưng không phải trước khi hoàn thành kiểm tra bảo mật Cloudflare Turnstile.
"Điều đáng chú ý là mã client-side bao gồm các biện pháp chống gỡ lỗi cơ bản, ví dụ, nó chặn các tổ hợp phím mở DevTools và vô hiệu hóa menu ngữ cảnh," ANY.RUN cho biết.
Sau khi thông tin đăng nhập được nhập, người dùng được chuyển hướng đến trang hợp pháp để tránh gây ra bất kỳ nghi ngờ nào.
Lỗi cấu hình đường dẫn build phơi bày hàng nghìn máy chủ AI
Lỗ hổng bảo mật trong Smithery.ai
GitGuardian cho biết họ đã phát hiện một lỗ hổng path traversal trong Smithery.ai đã cung cấp quyền truy cập trái phép vào hàng nghìn máy chủ MCP và thông tin đăng nhập liên quan của chúng, dẫn đến rủi ro chuỗi cung ứng lớn. Vấn đề nằm ở chỗ tệp cấu hình smithery.yaml được sử dụng để xây dựng một máy chủ trong Docker chứa một thuộc tính dockerBuildPath không được kiểm soát đúng cách, cho phép chỉ định bất kỳ đường dẫn tùy ý nào.
"Một lỗi cấu hình đơn giản đã cho phép kẻ tấn công truy cập các tệp nhạy cảm trên cơ sở hạ tầng của registry, dẫn đến việc đánh cắp thông tin đăng nhập quản trị viên có quyền hạn cao," GitGuardian cho biết. "Những thông tin đăng nhập bị đánh cắp này đã cung cấp quyền truy cập vào hơn 3.000 máy chủ AI được lưu trữ, cho phép đánh cắp API keys và secrets từ hàng nghìn khách hàng tiềm năng trên hàng trăm dịch vụ."
Vấn đề này đã được khắc phục, và không có bằng chứng nào cho thấy nó đã bị khai thác trong thực tế.
Prompt injection leo thang thành remote code execution
Từ Prompt Injection đến RCE trong các tác nhân AI
Các nhà nghiên cứu đã phát hiện ra rằng có thể bỏ qua bước phê duyệt của con người cần thiết khi chạy các lệnh hệ thống nhạy cảm bằng cách sử dụng các tác nhân trí tuệ nhân tạo (AI) hiện đại. Theo Trail of Bits, việc bỏ qua này có thể đạt được thông qua các cuộc tấn công argument injection khai thác các lệnh đã được phê duyệt trước, cho phép kẻ tấn công đạt được remote code execution (RCE). Để chống lại những rủi ro này, khuyến nghị nên sandbox các hoạt động của tác nhân khỏi hệ thống máy chủ, giảm các allowlists lệnh an toàn và sử dụng các phương pháp thực thi lệnh an toàn ngăn chặn shell interpretation.
Deserialization không an toàn mở đường cho remote code execution
Lỗ hổng bảo mật trong python-socketio
Một lỗ hổng bảo mật trong thư viện python-socketio (CVE-2025-61765, điểm CVSS: 6.4) có thể cho phép kẻ tấn công thực thi mã Python tùy ý thông qua deserialization pickle độc hại trong các tình huống mà chúng đã có quyền truy cập vào message queue mà các máy chủ sử dụng để liên lạc nội bộ.
"Module pickle được thiết kế để tuần tự hóa và giải tuần tự hóa các đối tượng Python đáng tin cậy," BlueRock cho biết. "Nó không bao giờ có ý định trở thành một định dạng an toàn để giao tiếp giữa các hệ thống không ngầm tin tưởng lẫn nhau. Tuy nhiên, các trình quản lý client của python-socketio giải tuần tự hóa một cách bừa bãi mọi tin nhắn nhận được từ shared message broker."
Do đó, một tác nhân đe dọa có quyền truy cập vào message queue có thể gửi một pickle payload được tạo đặc biệt sẽ được thực thi ngay sau khi nó được giải tuần tự hóa. Vấn đề này đã được khắc phục trong phiên bản 5.14.0 của thư viện.
Nhân Electron lỗi thời phơi bày các IDE AI trước các lỗ hổng Chromium cũ
Các IDE Cursor, Windsurf dễ bị tổn thương bởi hơn 94 lỗ hổng N-Day Chromium
Các công cụ mã hóa hỗ trợ AI như Cursor và Windsurf đã được phát hiện dễ bị tổn thương bởi hơn 94 vấn đề bảo mật đã biết và đã được vá trong trình duyệt Chromium và công cụ JavaScript V8, đặt hơn 1,8 triệu nhà phát triển vào tình thế rủi ro, theo OX Security. Vấn đề là cả hai môi trường phát triển đều được xây dựng trên các phiên bản cũ của Visual Studio Code được tích hợp với một runtime ứng dụng Electron trỏ đến các phiên bản lỗi thời của trình duyệt Chromium mã nguồn mở và công cụ V8 của Google.
"Đây là một cuộc tấn công chuỗi cung ứng cổ điển đang chờ xảy ra," công ty an ninh mạng cho biết. "Cursor và Windsurf phải ưu tiên các bản cập nhật bảo mật upstream. Cho đến khi họ làm như vậy, 1,8 triệu nhà phát triển vẫn tiếp tục bị phơi bày trước các cuộc tấn công có thể làm tổn hại không chỉ máy của họ mà còn toàn bộ chuỗi cung ứng phần mềm mà họ là một phần của nó."
Trình cài đặt Chrome giả mạo phát tán RAT nhận biết kernel
Người dùng Trung Quốc bị nhắm mục tiêu bằng trình cài đặt Chrome giả để thả ValleyRAT
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chuỗi tấn công mới lợi dụng các trình cài đặt giả mạo cho Google Chrome làm mồi nhử để thả một remote access trojan (RAT) có tên ValleyRAT như một phần của quy trình nhiều giai đoạn. File binary được thiết kế để thả một payload trung gian quét các sản phẩm antivirus chủ yếu được sử dụng ở Trung Quốc và sử dụng một kernel driver để chấm dứt các tiến trình liên quan nhằm né tránh phát hiện. ValleyRAT được khởi chạy bằng cách sử dụng một DLL downloader truy xuất phần mềm độc hại từ một máy chủ bên ngoài ("202.95.11[.]152"). Còn được gọi là Winos 4.0, phần mềm độc hại này có liên quan đến một nhóm tội phạm mạng Trung Quốc được gọi là Silver Fox.
"Phân tích của chúng tôi đã tiết lộ các chuỗi ký tự tiếng Trung trong file binary, bao gồm tên DLL nội bộ, và xác định rằng các giải pháp bảo mật bị nhắm mục tiêu là các sản phẩm từ các nhà cung cấp Trung Quốc," nhà nghiên cứu Rahul Ramesh của Cyderes cho biết. "Điều này cho thấy kẻ tấn công có kiến thức về môi trường phần mềm khu vực và gợi ý chiến dịch được thiết kế riêng để nhắm mục tiêu vào các nạn nhân ở Trung Quốc."
Điều đáng chú ý là các trình cài đặt giả mạo tương tự cho Chrome đã được sử dụng để phân phối Gh0st RAT trong quá khứ.
Unicode ẩn lừa các kiểm tra danh tính ứng dụng
Lỗ hổng mới cho phép mạo danh ứng dụng Microsoft
Varonis đã tiết lộ chi tiết về một lỗ hổng cho phép kẻ tấn công mạo danh các ứng dụng Microsoft bằng cách tạo các ứng dụng độc hại với tên gọi lừa đảo như "Azure Portal" hoặc "Azure SQL Database" với các ký tự Unicode ẩn, bỏ qua hiệu quả các biện pháp bảo vệ được đặt ra để ngăn chặn việc sử dụng tên dành riêng. Điều này bao gồm việc chèn "0x34f" giữa tên ứng dụng như "Az$([char]0x34f)ur$([char]0x34f)e Po$([char]0x34f)rtal." Kỹ thuật này, được Varonis gọi là Azure App-Mirage, sau đó có thể được kết hợp với các phương pháp như device code phishing để lừa người dùng chia sẻ mã xác thực và giành quyền truy cập trái phép vào tài khoản của họ. Microsoft đã triển khai các bản sửa lỗi để khắc phục vấn đề này.
Không cần binary — kẻ tấn công sử dụng SQL để đòi tiền chuộc dữ liệu
Khai thác cơ sở dữ liệu cho Ransomware không cần Malware
Các tác nhân đe dọa đã được quan sát thấy đang khai thác các điểm yếu trong các máy chủ cơ sở dữ liệu hướng internet và lạm dụng các lệnh hợp pháp để đánh cắp, mã hóa hoặc phá hủy dữ liệu và yêu cầu thanh toán để đổi lấy việc trả lại các tệp hoặc giữ chúng riêng tư. Đây là một phần của xu hướng đang diễn ra khi kẻ tấn công ngày càng không sử dụng phần mềm độc hại, thay vào đó là dùng các kỹ thuật living-off-the-land để hòa trộn với hoạt động bình thường và đạt được mục tiêu của chúng.
"Kẻ tấn công kết nối từ xa với các máy chủ này, sao chép dữ liệu sang một vị trí khác, xóa cơ sở dữ liệu và sau đó để lại một ghi chú đòi tiền chuộc được lưu trữ trong chính cơ sở dữ liệu," công ty bảo mật đám mây Wiz cho biết. "Phương pháp này bỏ qua nhiều phương pháp phát hiện thông thường vì không có file binary độc hại nào được thả; thiệt hại được gây ra hoàn toàn bằng các lệnh cơ sở dữ liệu bình thường."
Một số máy chủ cơ sở dữ liệu bị nhắm mục tiêu nhiều nhất trong các cuộc tấn công ransomware bao gồm MongoDB, PostgreSQL, MySQL, Amazon Aurora MySQL và MariaDB.
Các thủ thuật CSS chôn giấu các prompt độc hại một cách công khai
Lạm dụng CSS để ẩn text salting
Kẻ tấn công ngày càng sử dụng các thuộc tính text, visibility và display của Cascading Style Sheets (CSS), cùng với các thuộc tính sizing để chèn văn bản ẩn (đoạn văn và bình luận) và các ký tự vào email. Đây được coi là một cách để vượt qua các bộ lọc spam và các biện pháp phòng thủ an ninh của doanh nghiệp.
"Có sự sử dụng rộng rãi của hidden text salting trong các email độc hại để bỏ qua việc phát hiện," nhà nghiên cứu Omid Mirzaei của Cisco Talos cho biết. "Kẻ tấn công nhúng salt ẩn vào preheader, header, tệp đính kèm và body — sử dụng các ký tự, đoạn văn và bình luận — bằng cách thao túng các thuộc tính text, visibility và sizing."
Công ty an ninh mạng cũng lưu ý rằng nội dung ẩn thường được tìm thấy trong spam và các mối đe dọa email khác hơn là trong các email hợp pháp. Điều này tạo ra một thách thức cho các giải pháp bảo mật dựa vào một large language model (LLM) để phân loại các tin nhắn đến, vì một tác nhân đe dọa có thể che giấu các prompt ẩn để ảnh hưởng đến kết quả.
Mỗi một trong những sự cố này đều kể cùng một câu chuyện: kẻ tấn công không đột nhập — chúng đăng nhập, tiêm hoặc chiếm quyền những gì đã được tin cậy. Sự khác biệt giữa việc sống sót và trở thành tiêu đề báo chí là tốc độ bạn vá lỗi, cách ly và xác minh.
Hãy cảnh giác, xem xét các biện pháp phòng thủ của bạn và tiếp tục theo dõi ThreatsDay — vì những vụ vi phạm của tuần tới đã được viết trong những lỗi bị bỏ qua ngày hôm nay.
