DeepSeek-R1 là một trong những mô hình ngôn ngữ lớn (LLM) phổ biến nhất hiện nay, tuy nhiên cũng chính vì điều này mà các tác nhân đe dọa đã lợi dụng DeepSeek để thực hiện cài cắm mã độc. Thời gian qua, các tin tặc bắt đầu sử dụng quảng cáo độc hại để khai thác nhu cầu về chatbot. Các nhà nghiên cứu của hãng bảo mật Kaspersky vừa phát hiện một chiến dịch độc hại mới phân phối mã độc thông qua trình cài đặt môi trường LLM DeepSeek-R1 giả mạo. Phần mềm độc hại được phân phối thông qua một trang web lừa đảo ngụy trang thành trang chủ chính thức của DeepSeek. Các cuộc tấn công cuối cùng nhằm mục đích cài đặt BrowserVenom, một phần mềm độc hại có khả năng cấu hình lại tất cả các phiên bản duyệt web, chuyển hướng lưu lượng truy cập thông qua một proxy do các tác nhân đe dọa kiểm soát. Điều này cho phép chúng thao túng lưu lượng truy cập mạng của nạn nhân và thu thập dữ liệu. Dựa trên báo cáo của Kaspersky, bài viết này sẽ cùng phân tích và khám phá DeepSeek-R1.

DanaBot là một loại mã độc mạnh mẽ được viết bằng Delphi với khả năng theo dõi thao tác bàn phím, chụp ảnh màn hình, quay video màn hình nền của nạn nhân, đánh cắp các tệp tin, đưa nội dung tùy ý vào trình duyệt web và triển khai phần mềm độc hại giai đoạn thứ hai. Mã độc này vận hành dựa trên nền tảng Malware-as-a-Service (MaaS), cho phép kẻ tấn công thực hiện nhiều cuộc tấn công mạng khác nhau. DanaBot triển khai một giao thức nhị phân tùy chỉnh được mã hóa bằng RSA 1.024 bit và AES 256 bit ở chế độ CBC. Các máy chủ điều khiển và ra lệnh (C2) được mã hóa cứng, nhưng Tor có thể được sử dụng làm kênh truyền thông dự phòng. Bài viết này sẽ cùng khám phá cơ chế hoạt động của dòng mã độc nguy hiểm này, dựa trên báo cáo của công ty bảo mật đám mây Zscaler (Mỹ).

Các nhà nghiên cứu của hãng bảo mật đám mây Zscaler mới đây đã xác định được một trình tải phần mềm độc hại mới có tên gọi là “TransferLoader”, đã hoạt động ít nhất từ ​​tháng 2/2025. ThreatLabz đã xác định được ba thành phần khác nhau (một downloader, một backdoor và loader chuyên dụng cho backdoor) được nhúng trong các tệp nhị phân TransferLoader. Ngoài ra, các nhà nghiên cứu đã quan sát thấy TransferLoader được sử dụng để phân phối mã độc tống tiền Morpheus. Tất cả các thành phần của TransferLoader đều có điểm tương đồng bao gồm nhiều kỹ thuật chống phân tích và mã hóa tinh vi. Dựa trên báo cáo của Zscaler, bài viết này sẽ cùng khám phá và phân tích hoạt động của phần mềm độc hại TransferLoader, từ đó cung cấp độc giả những góc nhìn toàn cảnh về mã độc mới này.

Zanubis là một Trojan ngân hàng trên Android xuất hiện vào giữa năm 2022. Kể từ khi ra đời, nó đã nhắm mục tiêu vào các ngân hàng và tổ chức tài chính ở Peru, trước khi mở rộng mục tiêu sang thẻ ảo và ví tiền điện tử. Theo hãng bảo mật Kaspersky, phần mềm độc hại này đang trong quá trình phát triển liên tục với những cải tiến tinh vi hơn, với các phiên bản mới mở rộng chức năng trích xuất dữ liệu, điều khiển từ xa, chuyển đổi giữa các thuật toán mã hóa, cũng như các phương pháp che giấu và chiến thuật lừa đảo mới. Những bản cập nhật này thường được liên kết với các chiến dịch tấn công mạng định kỳ. Để hiểu cách Trojan đạt đến giai đoạn hiện tại, chúng ta cần nhìn lại nguồn gốc của nó và những dấu hiệu ban đầu của những gì sắp xảy ra. Dựa trên báo cáo của Kaspersky, bài viết này sẽ cùng phân tích và làm rõ kỹ hơn quá trình phát triển của phần mềm độc hại theo thời gian.

Nhóm tin tặc Interlock đang triển khai một trojan truy cập từ xa (RAT) chưa từng được ghi nhận trước đây có tên là NodeSnake, để xâm nhập vào mạng lưới các tổ chức giáo dục, trong đó có các trường đại học