GootLoader là mã độc dựa trên JavaScript/JScript, được phát hiện sử dụng một kỹ thuật tinh vi nhằm né tránh hệ thống phát hiện tự động: tạo các tệp ZIP thay đổi bằng cách ghép nối từ 500 đến 1.000 tệp ZIP nhỏ, khiến nhiều công cụ giải nén và phân tích mã độc tiêu chuẩn không thể xử lý được. Khi người dùng tải xuống và mở tệp ZIP này bằng trình giải nén mặc định của Windows, phần payload JavaScript sẽ được kích hoạt và dẫn tới các hành vi bất lợi trên hệ thống. Chiến dịch này chủ yếu được lan truyền thông qua các trang web đã bị chiếm quyền kiểm soát, nơi các liên kết tải xuống được ngụy trang như kết quả tìm kiếm hoặc nội dung quảng bá hợp pháp, nhằm đánh lừa người dùng đang tìm kiếm các mẫu tài liệu phổ biến trên Internet. Bài báo phân tích cơ chế né tránh phát hiện của GootLoader, chuỗi xâm nhập, đề xuất một số biện pháp phòng thủ đối với các tổ chức an ninh mạng.

Một công cụ độc hại mới có tên ErrTraffic cho phép các tác nhân đe dọa tự động hóa các cuộc tấn công ClickFix bằng cách tạo ra các “lỗi giả mạo” trên các trang web bị xâm nhập để dụ người dùng tải xuống các phần mềm độc hại hoặc làm theo các hướng dẫn nguy hiểm.

Một nhóm tin tặc đã khai thác lỗ hổng bảo mật nghiêm trọng React2Shell (CVE-2025-55182) để giành quyền truy cập ban đầu vào mạng lưới doanh nghiệp và triển khai phần mềm độc hại mã hóa tệp tin chỉ chưa đầy một phút sau đó.

Vào tháng 3/2025, Kaspersky đã phát hiện Chiến dịch ForumTroll - với một chuỗi các cuộc tấn công mạng tinh vi khai thác lỗ hổng CVE-2025-2783 trong Google Chrome. Hãng bảo mật cũng từng mô tả chi tiết các phần mềm độc hại được sử dụng trong chiến dịch này, bao gồm backdoor LeetAgent và phần mềm gián điệp Dante, được phát triển bởi Memento Labs (trước đây là Hacking Team). Tuy nhiên, những kẻ tấn công đứng sau các cuộc tấn công không dừng lại ở các hành động đó và tiếp tục lây nhiễm các mục tiêu tại Nga. Bài báo sẽ cùng phân tích và tìm hiểu chi tiết hơn về hoạt động chiến dịch mới nhất của ForumTroll, dựa trên báo cáo của Kaspersky.

[ATTT số 5 (087) 2025] - Spear-phishing là một trong những hình thức tấn công mạng nguy hiểm nhất hiện nay, đặc biệt khi được kết hợp với công nghệ trí tuệ nhân tạo (AI). Với khả năng phân tích dữ liệu lớn, mô phỏng giọng nói và tạo nội dung thuyết phục, AI giúp kẻ tấn công cá nhân hóa thông điệp, tăng mức độ tin cậy và khó bị phát hiện hơn. Bài báo phân tích cơ chế hoạt động của spear-phishing ứng dụng AI, chỉ ra các nguy cơ đối với tổ chức và cá nhân, đồng thời đề xuất các biện pháp phòng ngừa theo hướng phòng thủ đa lớp. Qua đó, bài báo nhấn mạnh tầm quan trọng của việc kết hợp công nghệ với yếu tố con người để đối phó hiệu quả trước mối đe dọa đang ngày càng tinh vi này.    

Mã độc mới TCESB vừa được phát hiện đang được một nhóm tin tặc có liên hệ với Trung Quốc sử dụng để tấn công khu vực châu Á, thông qua việc khai thác lỗ hổng bảo mật trong phần mềm ESET.

Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.

Hãng bảo mật Trend Micro phát hiện các router ASUS trở thành mục tiêu của mạng botnet mới có tên gọi Cyclops Blink. Trước đó, các chuyên gia phát hiện mã độc này đã lạm dụng các thiết bị tường lửa của một số hãng như một bước đệm để truy cập từ xa vào các mạng bị xâm nhập.

Tiêu điểm của tình hình an ninh mạng trên thế giới thời gian qua là làn sóng tấn công hướng đến các cơ quan, tổ chức, chính phủ tại Ukraine. WhisperGate -  mã độc được sử dụng trong chiến dịch tấn công này đã thu hút sự chú ý lớn của dư luận. Bài báo này giới thiệu tới quý độc giả góc nhìn kỹ thuật về WhisperGate và những khuyến nghị của Microsoft dành cho người dùng.

Bài báo này cung cấp cách nhìn khái quát, các mối nguy hiểm và các phương pháp phát hiện mã độc phần cứng.