Thế giới trực tuyến đang thay đổi nhanh chóng. Hàng tuần, các vụ lừa đảo, tấn công và thủ đoạn mới cho thấy công nghệ hàng ngày đã dễ dàng trở thành vũ khí như thế nào. Các công cụ được tạo ra để giúp chúng ta làm việc, kết nối và giữ an toàn giờ đây đang bị sử dụng để đánh cắp, gián điệp và lừa gạt.
Tin tặc không còn luôn phá vỡ hệ thống nữa — họ sử dụng chúng. Chúng ẩn mình trong các ứng dụng đáng tin cậy, sao chép các trang web thật và lừa mọi người giao quyền kiểm soát mà không hề hay biết. Đây không còn chỉ là việc đánh cắp dữ liệu — mà là về quyền lực, tiền bạc và sự kiểm soát cách mọi người sống và giao tiếp.
Số ThreatsDay tuần này xem xét cuộc chiến đó đang diễn ra như thế nào — nơi tội phạm đang trở nên thông minh hơn, nơi các biện pháp phòng thủ đang thất bại và điều đó có ý nghĩa gì đối với bất kỳ ai sống trong một thế giới kết nối.
-
Đế chế Crypto xây dựng trên sự bóc lột
Chiến dịch lịch sử nhắm mục tiêu vào các mạng lưới lừa đảo Đông Nam Á với việc thu giữ 15 tỷ USD
Chính phủ Hoa Kỳ đã thu giữ 15 tỷ USD (khoảng 127.271 bitcoin) tài sản cryptocurrency từ một trong những nhà điều hành lớn nhất thế giới các khu phức hợp lừa đảo cưỡng bức lao động trên khắp Campuchia, Myanmar và Lào, được biết là thực hiện các kế hoạch romance baiting (hay còn gọi là pig butchering hoặc Shā Zhū Pán) để lừa đảo nạn nhân với lý do lợi nhuận tăng cao. Những kẻ phạm tội, hoạt động từ các khu phức hợp lừa đảo dưới sự đe dọa bạo lực, thường xây dựng mối quan hệ với nạn nhân theo thời gian, giành được lòng tin của họ trước khi đánh cắp tiền của họ. Bộ Tư pháp (DoJ) đã công bố bản cáo trạng chống lại Prince Group và CEO 38 tuổi của tập đoàn này, Chen Zhi (hay còn gọi là Vincent).
"Các cá nhân bị giam giữ trái ý muốn trong các khu phức hợp đã tham gia vào các kế hoạch gian lận đầu tư cryptocurrency, được gọi là lừa đảo 'pig butchering', đã đánh cắp hàng tỷ USD từ các nạn nhân ở Hoa Kỳ và trên toàn thế giới," DoJ cho biết. "Các công nhân bị buôn bán đã bị giam giữ trong các khu phức hợp giống nhà tù và buộc phải thực hiện các vụ lừa đảo trực tuyến trên quy mô công nghiệp, săn mồi hàng nghìn người trên toàn cầu."
Zhi, kẻ cầm đầu được cho là đứng sau đế chế tội phạm mạng rộng lớn này, hiện đang lẩn trốn. Bộ này cũng cho biết số tiền bị tịch thu đại diện cho "tiền thu được và công cụ của các kế hoạch gian lận và rửa tiền của bị cáo" và được lưu trữ trong các ví cryptocurrency không được lưu trữ mà bị cáo có khóa riêng. Các khu phức hợp hoạt động từ các sòng bạc và khách sạn sang trọng thuộc sở hữu của Tập đoàn. Một số tiền thu được từ hành vi trộm cắp đã được chi cho hàng hóa xa xỉ, bao gồm du thuyền, máy bay riêng, tác phẩm nghệ thuật và thậm chí cả một bức tranh Picasso. Đồng thời, Hoa Kỳ và Vương quốc Anh đã chỉ định Prince Group là một tổ chức tội phạm xuyên quốc gia và công bố các biện pháp trừng phạt chống lại bị cáo. Các tổ chức đại diện khác bị nhắm mục tiêu bởi các biện pháp trừng phạt bao gồm Jin Bei Group, Golden Fortune Resorts World và Byex Exchange. Elliptic cho biết 15 tỷ USD bị Hoa Kỳ thu giữ đã "bị đánh cắp" vào năm 2020 từ LuBian, một doanh nghiệp khai thác bitcoin với các hoạt động ở Trung Quốc và Iran. LuBian, theo công ty phân tích blockchain, là một trong những doanh nghiệp kinh doanh hợp pháp trên bề mặt được Prince Group giám sát."Lừa đảo pig butchering đã bùng nổ thành một nền kinh tế gian lận công nghiệp hóa tạo ra hàng chục tỷ USD hàng năm," Infoblox cho biết. "Các băng đảng tội phạm có tổ chức tinh vi ở châu Á đã chứng tỏ khả năng tạo ra hàng trăm trang web dùng một lần chỉ trong vài phút, làm cho các chính phủ choáng ngợp và không thể phát hiện hoặc chặn chúng đủ nhanh để bảo vệ nạn nhân."
-
Mã độc WhatsApp thúc đẩy hành vi trộm cắp ngân hàng
Maverick Banker nhắm mục tiêu vào Brazil trong chiến dịch quy mô lớn
Kaspersky đã tiết lộ rằng trojan ngân hàng mới được phát hiện có tên Maverick nhắm mục tiêu vào người dùng Brazil bằng cách sử dụng một mã độc WhatsApp có tên SORVEPOTEL, chia sẻ nhiều đoạn mã trùng lặp với Coyote.
"Sau khi được cài đặt, trojan này sử dụng dự án mã nguồn mở WPPConnect để tự động gửi tin nhắn trong các tài khoản bị chiếm đoạt qua WhatsApp Web, tận dụng quyền truy cập để gửi tin nhắn độc hại đến các liên hệ," nhà cung cấp bảo mật Nga cho biết. "Trojan Maverick kiểm tra múi giờ, ngôn ngữ, khu vực, định dạng ngày và giờ trên các máy bị nhiễm để đảm bảo nạn nhân ở Brazil; nếu không, mã độc sẽ không được cài đặt."
Mã độc này giám sát quyền truy cập của nạn nhân vào 26 trang web ngân hàng Brazil, sáu trang web sàn giao dịch cryptocurrency và một nền tảng thanh toán để tạo điều kiện thuận lợi cho việc đánh cắp thông tin đăng nhập. Nó cũng đi kèm với các khả năng kiểm soát hoàn toàn máy tính bị nhiễm, chụp ảnh màn hình, cài đặt một keylogger, điều khiển chuột, chặn màn hình khi truy cập trang web ngân hàng, chấm dứt các tiến trình và mở các trang phishing trong một lớp phủ (overlay). Kaspersky cho biết họ đã chặn 62.000 nỗ lực lây nhiễm bằng tệp LNK độc hại được chia sẻ qua WhatsApp trong 10 ngày đầu tiên của tháng 10, chỉ riêng ở Brazil, cho thấy một chiến dịch quy mô lớn. -
Bầu trời không mã hóa rò rỉ thông tin tình báo
Quét vệ tinh để đánh cắp bí mật
Một nghiên cứu mới từ một nhóm học giả của Đại học Maryland và Đại học California, San Diego đã phát hiện ra rằng có thể chặn và do thám lưu lượng liên lạc của 39 vệ tinh địa tĩnh từ quân đội Hoa Kỳ, các công ty viễn thông, các doanh nghiệp lớn và các tổ chức bằng cách sử dụng một đĩa vệ tinh dân dụng được lắp đặt trên mái nhà của họ. Dữ liệu bị chặn bao gồm các cuộc gọi và tin nhắn văn bản của nhà mạng di động, âm thanh cuộc gọi VoIP, thông tin đăng nhập, email công ty, hồ sơ kiểm kê và thông tin mạng ATM thuộc về các công ty bán lẻ, tài chính và ngân hàng, bí mật quân sự và chính phủ liên quan đến giám sát tàu ven biển, và các hoạt động duyệt web của người dùng Wi-Fi trên máy bay.
"Một lượng lớn dữ liệu nhạy cảm đáng kinh ngạc đang được phát sóng không mã hóa, bao gồm hạ tầng trọng yếu, liên lạc nội bộ của doanh nghiệp và chính phủ, cuộc gọi thoại và SMS của công dân, cũng như lưu lượng Internet tiêu dùng từ Wi-Fi trên máy bay và mạng di động," các nhà nghiên cứu cho biết. "Dữ liệu này có thể được bất kỳ ai quan sát một cách thụ động chỉ với vài trăm đô la thiết bị phần cứng dân dụng."
Sau khi tiết lộ, T-Mobile đã chuyển sang mã hóa các liên lạc vệ tinh của mình. -
Giao thức cũ, đường tấn công mới
Lạm dụng các giao thức Windows cũ để đánh cắp thông tin đăng nhập
Các giao thức liên lạc Windows cũ như NetBIOS Name Service (NBT-NS) và Link-Local Multicast Name Resolution (LLMNR) tiếp tục khiến các tổ chức gặp rủi ro bị đánh cắp thông tin đăng nhập, mà không cần phải khai thác các lỗ hổng phần mềm.
"Điểm yếu của LLMNR và NBT-NS là chúng chấp nhận phản hồi từ bất kỳ thiết bị nào mà không cần xác thực," Resecurity cho biết. "Điều này cho phép kẻ tấn công trên cùng một mạng con phản hồi các yêu cầu phân giải tên và lừa hệ thống gửi các nỗ lực xác thực. Sử dụng các công cụ như Responder, kẻ tấn công có thể thu thập NTLMv2 hashes, tên người dùng và chi tiết miền, sau đó có thể được crack offline hoặc chuyển tiếp đến các dịch vụ khác."
Vì Windows sẽ quay lại sử dụng LLMNR hoặc NBT-NS khi không thể phân giải hostname thông qua DNS, điều này có thể mở ra cánh cửa cho các cuộc tấn công LLMNR và NBT-NS poisoning."Chỉ đơn giản bằng cách ở trên cùng một mạng con, kẻ tấn công có thể mạo danh các hệ thống đáng tin cậy, thu thập NTLMv2 hashes và có khả năng khôi phục thông tin đăng nhập dạng văn bản rõ," công ty nói thêm. "Từ đó, chúng có được khả năng truy cập dữ liệu nhạy cảm, di chuyển ngang và leo thang đặc quyền mà không cần phải khai thác một lỗ hổng phần mềm nào."
Để bảo vệ chống lại mối đe dọa, nên tắt LLMNR và NBT-NS, thực hiện các phương pháp xác thực an toàn như Kerberos, và tăng cường bảo mật LDAP và Active Directory chống lại các cuộc tấn công NTLM relay. -
Mã thanh toán thu thập dữ liệu thanh toán
Trang web Unity bị xâm nhập với Skimmer
Hàng trăm người dùng ước tính đã bị đánh cắp thông tin nhạy cảm thông qua một trang web bị xâm nhập thuộc về công ty phát triển phần mềm trò chơi Unity Technologies. Skimmer độc hại, được tiêm vào trang thanh toán của Unity SpeedTree, được thiết kế để thu thập thông tin được nhập bởi các cá nhân đã mua hàng trên trang SpeedTree, bao gồm tên, địa chỉ, địa chỉ email, số thẻ thanh toán và mã truy cập. Theo một hồ sơ với Văn phòng Tổng chưởng lý Maine, sự cố đã ảnh hưởng đến 428 cá nhân. Các khách hàng bị ảnh hưởng đang được thông báo và được cung cấp dịch vụ giám sát tín dụng miễn phí và bảo vệ danh tính. Vụ vi phạm được phát hiện vào ngày 26 tháng 8 năm 2025.
-
Tin nhắn giả mạo tài trợ cho lừa đảo toàn cầu
Các cuộc tấn công Smishing ở Hoa Kỳ mang lại lợi nhuận khổng lồ
Các chiến dịch smishing do các nhóm tội phạm mạng Trung Quốc thực hiện phân phối các tin nhắn SMS giả mạo cho người dùng Hoa Kỳ về việc giao gói hàng và thanh toán phí cầu đường đã tạo ra hơn 1 tỷ USD trong ba năm qua, The Wall Street Journal đã đưa tin, trích dẫn Bộ An ninh Nội địa. Vụ lừa đảo, được thực hiện thông qua các bộ công cụ phishing được bán trên Telegram, được thiết kế để đánh cắp chi tiết thẻ tín dụng của nạn nhân và sau đó sử dụng chúng trong Google và Apple Wallets ở châu Á và Hoa Kỳ để thực hiện các giao dịch mua trái phép, chẳng hạn như thẻ quà tặng, iPhone, quần áo và mỹ phẩm. Các tin nhắn được gửi qua SIM farms, với khoảng 200 SIM boxes hoạt động trong ít nhất 38 farms trên khắp Hoa Kỳ. Theo Proofpoint, có tới 330.000 tin nhắn lừa đảo phí cầu đường đã được gửi đến người Mỹ chỉ trong một ngày vào tháng trước. Một báo cáo trước đó từ SecAlliance vào tháng 8 năm 2025 lưu ý rằng các băng đảng smishing Trung Quốc có thể đã làm lộ từ 12,7 triệu đến 115 triệu thẻ thanh toán chỉ riêng ở Hoa Kỳ từ tháng 7 năm 2023 đến tháng 10 năm 2024. Hệ sinh thái tội phạm kể từ đó đã phát triển để bao gồm việc bán các thiết bị được chuẩn bị sẵn có chứa các thẻ bị đánh cắp, cho thấy sự phát triển của chiến lược kiếm tiền.
-
Người dùng Mac bị lừa bởi các bản sao
Các trang Homebrew giả mạo phân phối Stealer Malware
Một chiến dịch tinh vi nhắm mục tiêu vào người dùng macOS đã sử dụng các trang web cài đặt Homebrew giả mạo (homebrewfaq[.]org, homebrewclubs[.]org và homebrewupdate[.]org) để phân phối các payload độc hại. Cuộc tấn công khai thác sự tin tưởng rộng rãi mà người dùng đặt vào trình quản lý package Homebrew phổ biến bằng cách tạo ra các bản sao hoàn hảo đến từng pixel của trang cài đặt brew[.]sh chính thức và kết hợp với các kỹ thuật thao túng clipboard lừa đảo. Các trang web giả mạo tích hợp JavaScript ẩn được thiết kế để tiêm các lệnh bổ sung vào clipboard của người dùng mà họ không hề hay biết trong giai đoạn cài đặt khi người dùng không nghi ngờ cố gắng sao chép lệnh để cài đặt công cụ. Người ta đánh giá rằng chuỗi tấn công đang được sử dụng để phân phối Odyssey Stealer. Các chiến dịch trước đó đã sử dụng các trang Homebrew giả mạo để lừa người dùng cài đặt Cuckoo Stealer.
-
Các cuộc tấn công của nhà nước tăng mạnh
Vương quốc Anh cảnh báo về sự gia tăng đáng kể các sự cố mạng
Trung tâm An ninh Mạng Quốc gia Vương quốc Anh (NCSC) đã báo cáo 204 sự cố mạng "có ý nghĩa quốc gia" từ tháng 9 năm 2024 đến tháng 8 năm 2025. Con số này đại diện cho mức tăng 130% so với năm trước, khi các tổ chức ở Vương quốc Anh phải đối mặt với 89 sự cố có tác động cao như vậy. Trong số này, 18 sự cố được phân loại là rất nghiêm trọng. Tiết lộ này được đưa ra khi Bloomberg tiết lộ rằng các tác nhân nhà nước Trung Quốc đã xâm nhập thành công và có hệ thống các hệ thống máy tính của chính phủ Vương quốc Anh trong hơn một thập kỷ, truy cập thông tin được phân loại ở cấp độ thấp và trung bình. Dữ liệu được truy cập bao gồm các tài liệu mật liên quan đến việc xây dựng chính sách của chính phủ, các liên lạc riêng tư và một số điện tín ngoại giao, báo cáo cho biết thêm.
-
Firmware có chữ ký kích hoạt bootkits
Hệ thống Framework bị ảnh hưởng bởi lỗ hổng BombShell
Khoảng 200.000 hệ thống máy tính Linux từ nhà sản xuất máy tính Framework của Mỹ đã được phát hiện là được vận chuyển với các thành phần UEFI shell có chữ ký có thể bị khai thác để bỏ qua các biện pháp bảo vệ Secure Boot. Kẻ tấn công có thể lợi dụng các vấn đề này để tải các bootkits có thể né tránh các biện pháp kiểm soát bảo mật cấp hệ điều hành và tồn tại sau khi cài đặt lại hệ điều hành. Các lỗ hổng này đã được Eclypsium đặt tên mã là BombShell.
"Cốt lõi của vấn đề này là một lệnh tưởng chừng vô hại: mm (memory modify)," công ty bảo mật firmware cho biết. "Lệnh này, có mặt trong nhiều UEFI shells, cung cấp quyền đọc và ghi trực tiếp vào bộ nhớ hệ thống. Mặc dù khả năng này rất cần thiết cho các chẩn đoán hợp pháp, nhưng nó cũng là công cụ hoàn hảo để bỏ qua mọi biện pháp kiểm soát bảo mật trong hệ thống."
Framework đã phát hành các bản cập nhật bảo mật để giải quyết các lỗ hổng. -
Phishing sử dụng SVG để phân phối AsyncRAT ở Colombia
Người dùng Colombia bị nhắm mục tiêu bởi AsyncRAT
Các tội phạm mạng đã phát động một chiến dịch phishing tinh vi nhắm mục tiêu vào người dùng Colombia thông qua các thông báo tư pháp lừa đảo, triển khai một hệ thống phân phối mã độc multi-stage phức tạp mà đỉnh điểm là phân phối AsyncRAT. Chiến dịch tấn công sử dụng các email tiếng Tây Ban Nha được tạo cẩn thận mạo danh thư từ chính thức từ hệ thống tòa án Colombia, thông báo cho người nhận về các vụ kiện được cho là đã đệ trình chống lại họ và lừa họ mở các tệp đính kèm SVG dẫn đến các trang đích giả mạo để tải xuống tài liệu, đó là một HTML Application chịu trách nhiệm kích hoạt một loạt các payload trung gian để triển khai AsyncRAT.
-
Phòng thủ thông minh hơn, khôi phục đơn giản hơn
Google chống lừa đảo bằng các biện pháp an toàn mới
Google đã thêm các biện pháp bảo vệ mới vào Google Messages và các phương pháp khôi phục tài khoản để bảo vệ mọi người chống lại các vụ lừa đảo. Điều này bao gồm khả năng chặn người dùng truy cập các liên kết được chia sẻ trên Messages đã bị gắn cờ là spam, trừ khi người dùng đánh dấu rõ ràng các tin nhắn là "không phải spam". Công ty cũng đã thêm tùy chọn lấy lại quyền truy cập vào Tài khoản Google bằng tùy chọn "Sign in with Mobile Number".
"Tất cả những gì bạn cần là mật mã màn hình khóa từ thiết bị cũ để xác minh, không cần mật khẩu," Google cho biết.
Một tính năng mới khác bao gồm Recovery Contacts, cho phép người dùng chọn bạn bè hoặc thành viên gia đình đáng tin cậy để giúp dễ dàng khôi phục quyền truy cập vào tài khoản trong trường hợp bị khóa do thiết bị bị đánh cắp. Cuối cùng nhưng không kém phần quan trọng, Google cho biết họ cũng đang cung cấp Key Verifier cho tất cả người dùng Android 10+ để tăng cường lớp bảo mật khi trò chuyện qua Google Messages bằng cách đảm bảo rằng người dùng đang giao tiếp với người mà họ muốn và không phải ai khác. -
Mồi nhử vận chuyển thả các trình tải ẩn
PhantomVAI Loader phân phối mã độc đánh cắp thông tin trong các chiến dịch Phishing
Một C# malware loader có tên PhantomVAI Loader đang được phân phối qua các email phishing có chứa mồi nhử vận chuyển để phân phối các stealers và remote access trojans như AsyncRAT, XWorm, Formbook và DCRat.
"Trình tải ban đầu được sử dụng trong các chiến dịch này được đặt tên là Katz Stealer Loader [hay còn gọi là VMDetectLoader], vì mã độc Katz Stealer mà nó phân phối," Palo Alto Networks Unit 42 cho biết. "Tin tặc đang rao bán công cụ đánh cắp thông tin mới này trên các diễn đàn ngầm dưới dạng malware as a service (MaaS)."
Các chiến dịch phishing triển khai PhantomVAI Loader đã nhắm mục tiêu vào nhiều lĩnh vực trên toàn cầu, bao gồm sản xuất, giáo dục, tiện ích, công nghệ, y tế và chính phủ. Các email phishing chứa các tệp JavaScript hoặc Visual Basic Script đã nén khởi chạy PowerShell, chịu trách nhiệm thả loader dưới dạng hình ảnh GIF, sau đó tiến hành kiểm tra máy ảo, thiết lập tính bền vững và tiêm MSBuild.exe với payload giai đoạn tiếp theo bằng kỹ thuật được gọi là process hollowing. -
Bộ công cụ phát triển né tránh MFA
Bộ công cụ Phishing Whisper 2FA mới đứng sau 1 triệu nỗ lực tấn công
Một bộ công cụ mới nổi có tên Whisper 2FA đã trở thành dịch vụ phishing-as-a-service (PhaaS) phổ biến thứ ba sau Tycoon và EvilProxy. Barracuda cho biết họ đã phát hiện gần một triệu cuộc tấn công Whisper 2FA nhắm mục tiêu vào các tài khoản Microsoft trong nhiều chiến dịch phishing lớn vào tháng trước. Whisper 2FA đã được tìm thấy có nhiều điểm tương đồng với một bộ PhaaS khác có tên Salty 2FA.
"Đặc điểm nổi bật của Whisper 2FA là khả năng đánh cắp thông tin đăng nhập nhiều lần thông qua một vòng lặp exfiltration thông tin đăng nhập theo thời gian thực được kích hoạt bởi công nghệ web được gọi là AJAX (Asynchronous JavaScript and XML)," nhà nghiên cứu bảo mật Deerendra Prasad cho biết. "Những kẻ tấn công duy trì vòng lặp cho đến khi chúng có được một token xác thực đa yếu tố (MFA) hợp lệ."
Bộ công cụ phishing này được đánh giá là đang trong quá trình phát triển tích cực, với các tác giả liên tục thêm nhiều lớp che giấu và bảo vệ để chặn các công cụ debugging và làm sập các công cụ kiểm tra trình duyệt."Khi các bộ công cụ phishing như thế này tiếp tục phát triển, các tổ chức cần vượt qua các biện pháp phòng thủ tĩnh và áp dụng các chiến lược nhiều lớp: đào tạo người dùng, MFA kháng phishing, giám sát liên tục và chia sẻ thông tin tình báo về mối đe dọa," Prasad nói thêm.
-
Nhóm tống tiền tuổi teen lên kế hoạch trở lại
Scattered Lapsus$ Hunters tạm biệt
Nhóm tội phạm mạng Scattered Lapsus$ Hunters (SLSH), bao gồm chủ yếu là các thanh thiếu niên nói tiếng Anh kết hợp các yếu tố của Scattered Spider, LAPSUS$ và ShinyHunters, đã thông báo sẽ tạm ngừng hoạt động cho đến năm 2026 sau khi FBI thu giữ trang rò rỉ dữ liệu clearnet của chúng.
"Theo những trường hợp đặc biệt mà FBI đã cố gắng xóa bỏ di sản của chúng tôi, chúng tôi đặc biệt quyết định tạm thời từ bỏ sự quên lãng và nhanh chóng tấn công lại chúng," một thành viên viết vào ngày 11 tháng 10. "Chúng tôi sẽ tan biến một lần nữa vào không gian. Chúc ngủ ngon."
Trong một tin nhắn tiếp theo, nó nói: "Tôi hứa với bạn, bạn sẽ cảm nhận được sự phẫn nộ của chúng tôi." Kể từ đó, nhóm tống tiền đã công bố dữ liệu được cho là thuộc về sáu trong số 39 công ty bị nhắm mục tiêu, bao gồm Qantas, Albertsons, GAP, Vietnam Airlines, Fujifilm và Engie Resources, theo DataBreaches.net. -
Phần mềm hợp pháp, kiểm soát của tội phạm
Cách các tác nhân đe dọa lạm dụng công cụ RMM
Các nhà nghiên cứu an ninh mạng đã ghi nhận sự gia tăng các cuộc tấn công mạng khai thác các công cụ remote monitoring and management (RMM) để truy cập ban đầu thông qua các cảnh báo email phishing cảnh báo về việc đăng nhập giả mạo vào các phiên ConnectWise ScreenConnect của người nhận. Các nhóm Advanced Persistent Threat (APT) và các nhóm ransomware đã tận dụng các nền tảng RMM hợp pháp, bao gồm AnyDesk, ScreenConnect, UltraViewer, AppAnywhere, RustDesk, CloneDesk, Splashtop và TightVNC, để giành quyền kiểm soát trái phép các hệ thống. Các nhà nghiên cứu phát hiện ra rằng các tác nhân đe dọa cũng đang khai thác các tính năng hợp pháp của ScreenConnect, chẳng hạn như truy cập không giám sát và kiểm soát máy tính để bàn tương tác, để thiết lập tính bền vững và di chuyển ngang trong các mạng bị xâm nhập.
"Quyền quản trị của chúng, kết hợp với các trình cài đặt tùy chỉnh, liên kết mời và URL công khai, khiến chúng trở thành mục tiêu giá trị cao," DarkAtlas cho biết.
-
Các sàn giao dịch giả mạo bị triệt phá toàn cầu
Các nhà chức trách thu giữ hơn 1K miền liên quan đến gian lận Crypto
Các nhà chức trách Đức và Bulgaria đã thu giữ 1.406 trang web được sử dụng để thực hiện các vụ lừa đảo tài chính quy mô lớn. Các trang web này, bị ngoại tuyến vào đầu tháng, đã lừa người dùng đầu tư vào cryptocurrency trên các nền tảng giao dịch gian lận và sau đó biến mất cùng với tiền của họ. Các quan chức cho biết các nền tảng này không có giấy phép cần thiết từ BaFin để cung cấp dịch vụ tài chính hoặc chứng khoán và giao dịch ngân hàng. Họ cũng cho biết hơn 866.000 nỗ lực truy cập các trang web đã được ghi nhận trong khoảng thời gian mười ngày sau khi chúng bị thu giữ vào ngày 3 tháng 10 năm 2025, cho thấy thành công của những kẻ tấn công trong việc thực hiện kế hoạch. Vào giữa tháng 6 năm 2025, khoảng 800 miền bất hợp pháp đã bị chặn như một phần của nỗ lực tương tự.
-
Chuỗi exploit kernel bị vô hiệu hóa
Các lỗ hổng trong NVIDIA's GPU Linux Drivers đã được vá
NVIDIA đã tung ra các bản vá cho hai lỗ hổng trong NVIDIA's Display Driver for Linux (CVE-2025-23280 và CVE-2025-23330) có thể bị kích hoạt bởi một kẻ tấn công kiểm soát một tiến trình cục bộ không có đặc quyền để đạt được kernel read và write primitives. Quarkslab, công ty đã phát hiện và báo cáo các lỗ hổng vào tháng 6 năm 2025, đã phát hành một proof-of-concept exploit hoàn chỉnh.
-
Spyware phát triển với các công cụ builder
Hai RAT Android mới được mô tả chi tiết
Cyble và iVerify đã mô tả chi tiết hai họ mã độc Android mới có tên GhostBat RAT và HyperRat có thể đánh cắp dữ liệu nhạy cảm từ các thiết bị bị xâm nhập.
"Những kẻ vận hành có thể lấy nhật ký (logs), gửi thông báo, gửi SMS từ SIM của người dùng bị nhiễm, tải xuống tin nhắn đã lưu trữ, kiểm tra nhật ký cuộc gọi, xem hoặc sửa đổi các quyền được cấp, duyệt các ứng dụng đã cài đặt và thậm chí thiết lập phiên VNC," nhà nghiên cứu bảo mật Daniel Kelley của iVerify cho biết về HyperRat.
Bảng điều khiển command-and-control (C2) dựa trên web hỗ trợ khả năng tạo các tệp APK tùy chỉnh bằng công cụ builder, phục vụ các lớp phủ đăng nhập giả mạo trên các ứng dụng đã cài đặt và tùy chọn tạo điều kiện thuận lợi cho các chiến dịch spam hoặc phishing sau này thông qua nút gửi tin nhắn hàng loạt. Mặt khác, GhostBat RAT đã được quan sát nhắm mục tiêu vào người dùng Android ở Ấn Độ thông qua các ứng dụng giả mạo được phân phối qua WhatsApp và tin nhắn SMS chứa liên kết đến các trang web bị xâm nhập và GitHub. Sau khi được cài đặt, mã độc sử dụng các trang phishing để thu thập thông tin đăng nhập ngân hàng và UPI PIN. Nó cũng có thể exfiltrate các tin nhắn SMS chứa các từ khóa liên quan đến ngân hàng, với các biến thể chọn lọc bao gồm khả năng cryptocurrency mining."Các mẫu GhostBat RAT bao gồm quy trình làm việc multi-stage dropper, nén nhị phân native, cố ý làm hỏng/thao túng ZIP headers, kiểm tra chống giả lập (anti-emulation checks) trong thời gian chạy và mã hóa chuỗi mạnh, làm phức tạp quá trình reverse engineering," Cyble lưu ý.
-
Mạng lưới rửa tiền quy mô lớn bị triệt phá
Brazil triệt phá mạng lưới rửa tiền Crypto 540 triệu USD
Các nhà chức trách thực thi pháp luật Brazil đã triệt phá một mạng lưới tội phạm tinh vi bị cáo buộc rửa khoảng 540 triệu USD. Chiến dịch quét sạch, có tên mã Lusocoin, đã chứng kiến 13 cuộc khám xét và 11 vụ bắt giữ tạm thời, cũng như việc thu giữ sáu phương tiện sang trọng và sáu tài sản có giá trị cao. Tài sản trị giá hơn 3 tỷ reais Brazil (khoảng 540 triệu USD) đã bị phong tỏa theo lệnh của tòa án. Các quan chức cho biết mạng lưới này hoạt động như một kế hoạch rửa tiền và trốn tránh ngoại hối quốc tế, chuyển đổi lợi nhuận bất hợp pháp từ buôn bán ma túy, buôn lậu, trốn thuế và thậm chí tài trợ khủng bố thành tài sản cryptocurrency để che giấu nguồn gốc tiền. Tổng cộng, nhóm này được cho là đã di chuyển hơn 9 tỷ USD thông qua hệ sinh thái các công ty vỏ bọc, sàn giao dịch và ví kỹ thuật số của mình.
-
Cloud tracing được tái sử dụng để kiểm soát
Lạm dụng AWS X-Ray cho C2
Nghiên cứu mới đã phát hiện ra rằng có thể tận dụng dịch vụ theo dõi ứng dụng phân tán của Amazon AWS X-Ray làm covert C2 server, về cơ bản biến hạ tầng giám sát đám mây để thiết lập liên lạc hai chiều.
"AWS X-Ray được thiết kế để giúp các nhà phát triển hiểu hiệu suất ứng dụng bằng cách thu thập các bản ghi vết (traces)," nhà nghiên cứu bảo mật Dhiraj Mishra cho biết. "Tuy nhiên, các chú thích của X-Ray có thể lưu trữ dữ liệu key-value tùy ý, và dịch vụ này cung cấp các API để ghi và truy vấn dữ liệu này."
Kẻ tấn công có thể vũ khí hóa hành vi này để cấy một beacon vào hệ thống mục tiêu mà kẻ tấn công sau đó có thể kiểm soát bằng cách đưa ra một HTTP PUT request chứa lệnh Base64 đến endpoint "/TraceSegments" của dịch vụ X-Ray, từ đó máy nạn nhân lấy bản ghi vết độc hại trong giai đoạn polling và sau đó giải mã và thực thi lệnh được nhúng trong đó. Kết quả thực thi lệnh được exfiltrate đến dịch vụ X-Ray, cho phép kẻ tấn công truy cập các bản ghi vết kết quả bằng cách gửi một HTTP GET request đến endpoint "/TraceSummaries". -
Lỗ hổng CMS làm lộ dữ liệu doanh nghiệp
Các lỗ hổng bảo mật trong Adobe Experience Manager
Bảy lỗ hổng bảo mật (từ CVE-2025-54246 đến CVE-2025-54252) đã được tiết lộ trong Adobe Experience Manager có thể dẫn đến bypass tính năng bảo mật và cho phép kẻ tấn công giành quyền truy cập đọc/ghi trái phép. Các vấn đề này, được nhóm Assetnote của Searchlight Cyber báo cáo vào tháng 6 năm 2025, đã được Adobe khắc phục vào tháng trước. Không có bằng chứng cho thấy chúng đã bị khai thác trong thực tế.
-
Lạm dụng dữ liệu sinh trắc học đã được giải quyết
Google giải quyết vụ kiện quyền riêng tư
Google đã đạt được thỏa thuận giải quyết về việc sử dụng một bộ dữ liệu mã nguồn mở có tên Diversity in Faces mà theo cáo buộc có chứa hình ảnh của những người từ bang Illinois của Hoa Kỳ để đào tạo các thuật toán nhận dạng khuôn mặt của họ vi phạm Đạo luật Quyền riêng tư Thông tin Sinh trắc học (BIPA). Bộ dữ liệu này được tạo ra vào năm 2019 bởi IBM để giải quyết các thành kiến hiện có trong các bộ dữ liệu khuôn mặt chủ yếu là da sáng và nam giới. Theo nguyên đơn, một số hình ảnh đã được lấy từ bộ dữ liệu Flickr có chứa dữ liệu sinh trắc học của người dân Illinois. Các điều khoản của thỏa thuận không được tiết lộ. Vụ án ban đầu được đệ trình vào năm 2020, với các vụ kiện cũng được đệ trình chống lại Amazon và Microsoft vì các vi phạm tương tự.
-
Crypto bẩn tràn ngập blockchain
Số dư On-Chain liên quan đến hoạt động tội phạm vượt quá 75 tỷ USD
Một báo cáo mới từ Chainalysis đã tiết lộ rằng số dư cryptocurrency liên quan đến hoạt động bất hợp pháp vượt quá 75 tỷ USD. Con số này bao gồm khoảng 15 tỷ USD được các thực thể bất hợp pháp nắm giữ trực tiếp và hơn 60 tỷ USD trong các ví có liên quan gián tiếp đến các thực thể đó.
"Chỉ riêng các quản trị viên và nhà cung cấp Darknet market đã kiểm soát hơn 40 tỷ USD giá trị on-chain," công ty tình báo blockchain cho biết.
Đầu năm nay, Chainalysis đã tiết lộ rằng hơn 40 tỷ USD cryptocurrency đã được rửa tiền chỉ trong năm 2024, phần lớn thông qua các ví và mixers không để lại dấu vết trong các hệ thống tuân thủ tiêu chuẩn.
Ranh giới giữa an toàn và bị phơi bày trực tuyến mỏng manh hơn bao giờ hết. Những gì từng là các cuộc tấn công hiếm gặp, phức tạp giờ đây là những sự kiện hàng ngày, được thực hiện bởi các nhóm có tổ chức coi tội phạm mạng như một hoạt động kinh doanh. Nó không còn chỉ là bảo vệ thiết bị — mà là bảo vệ con người, niềm tin và sự thật trong một thế giới kỹ thuật số không ngừng vận động.
Giữ an toàn không có nghĩa là chạy theo mọi tiêu đề. Nó có nghĩa là hiểu cách các mối đe dọa này hoạt động, chú ý đến các dấu hiệu nhỏ và không để sự tiện lợi thay thế sự thận trọng. Các công cụ giúp cuộc sống dễ dàng hơn có thể quay lưng lại với chúng ta — nhưng nhận thức vẫn là biện pháp phòng thủ tốt nhất.
Hãy cảnh giác, tò mò và đừng cho rằng mình an toàn — hãy tự xây dựng sự an toàn.
