[ATTT số 6 (088) 2025] - Gần đây, các chuyên gia nghiên cứu an ninh mạng đã phát hiện một biến thể tấn công FileFix mới, sử dụng kỹ thuật cache smuggling để âm thầm tải tệp ZIP độc hại vào hệ thống nạn nhân mà không kích hoạt cảnh báo bảo mật. Đây là bước phát triển đáng chú ý trong chuỗi tấn công ClickFix/FileFix, vốn không dựa trên lỗ hổng kỹ thuật mà khai thác yếu tố con người thông qua các kỹ thuật social engineering tinh vi. Bài báo sẽ trình bày về tấn công FileFix và kỹ thuật né tránh cơ chế bảo mật, đồng thời đưa ra các khuyến nghị trong phát hiện và phòng thủ loại tấn công này.    

Một công cụ độc hại mới có tên ErrTraffic cho phép các tác nhân đe dọa tự động hóa các cuộc tấn công ClickFix bằng cách tạo ra các “lỗi giả mạo” trên các trang web bị xâm nhập để dụ người dùng tải xuống các phần mềm độc hại hoặc làm theo các hướng dẫn nguy hiểm.

Theo Công ty an ninh mạng Koi Security, hai tiện ích mở rộng độc hại trên VSCode Marketplace của Microsoft lây nhiễm máy tính của nhà phát triển bằng mã độc đánh cắp thông tin, có khả năng chụp ảnh màn hình, đánh cắp thông tin đăng nhập, ví tiền điện tử và chiếm quyền điều khiển phiên trình duyệt.

Các tin tặc đã khai thác lỗ hổng nghiêm trọng trong nền tảng chia sẻ tệp và truy cập từ xa Triofox của Gladinet để thực thi mã từ xa với quyền SYSTEM.

Một chiến dịch tấn công mạng gần đây phát tán tệp LNK độc hại qua WhatsApp với URL tiếng Bồ Đào Nha, nhắm mục tiêu cụ thể vào các nạn nhân tại Brazil. Để tránh bị phát hiện, máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công sẽ xác minh từng lượt tải xuống để đảm bảo nó đến từ chính phần mềm độc hại. Toàn bộ chuỗi lây nhiễm này với mục đích cuối cùng là phát tán Trojan ngân hàng mới có tên Maverick, chứa nhiều code trùng lặp với mã độc Coyote. Dựa trên báo cáo của Kaspersky, bài viết sẽ trình bày chi tiết toàn bộ chuỗi tấn công, thuật toán mã hóa và các mục tiêu của chiến dịch, cũng như thảo luận về những điểm tương đồng với các mối đe dọa đã biết.

RevengeHotels (còn được gọi TA558) là một nhóm tin tặc hoạt động từ năm 2015, chuyên đánh cắp dữ liệu thẻ tín dụng của khách lưu trú và khách du lịch tại khách sạn. Phương thức hoạt động của RevengeHotels bao gồm gửi email chứa liên kết lừa đảo, chuyển hướng nạn nhân đến các trang web giả mạo lưu trữ tài liệu. Các trang web này sau đó tải xuống các tệp lệnh để lây nhiễm vào các máy tính mục tiêu. Các gói tin cuối cùng bao gồm nhiều loại Trojan truy cập từ xa (RAT), cho phép tin tặc ra lệnh kiểm soát các hệ thống bị xâm nhập, đánh cắp dữ liệu nhạy cảm và duy trì hoạt động, cùng nhiều hoạt động độc hại khác.

DeepSeek-R1 là một trong những mô hình ngôn ngữ lớn (LLM) phổ biến nhất hiện nay, tuy nhiên cũng chính vì điều này mà các tác nhân đe dọa đã lợi dụng DeepSeek để thực hiện cài cắm mã độc. Thời gian qua, các tin tặc bắt đầu sử dụng quảng cáo độc hại để khai thác nhu cầu về chatbot. Các nhà nghiên cứu của hãng bảo mật Kaspersky vừa phát hiện một chiến dịch độc hại mới phân phối mã độc thông qua trình cài đặt môi trường LLM DeepSeek-R1 giả mạo. Phần mềm độc hại được phân phối thông qua một trang web lừa đảo ngụy trang thành trang chủ chính thức của DeepSeek. Các cuộc tấn công cuối cùng nhằm mục đích cài đặt BrowserVenom, một phần mềm độc hại có khả năng cấu hình lại tất cả các phiên bản duyệt web, chuyển hướng lưu lượng truy cập thông qua một proxy do các tác nhân đe dọa kiểm soát. Điều này cho phép chúng thao túng lưu lượng truy cập mạng của nạn nhân và thu thập dữ liệu. Dựa trên báo cáo của Kaspersky, bài viết này sẽ cùng phân tích và khám phá DeepSeek-R1.

Nhóm tin tặc Interlock đang triển khai một trojan truy cập từ xa (RAT) chưa từng được ghi nhận trước đây có tên là NodeSnake, để xâm nhập vào mạng lưới các tổ chức giáo dục, trong đó có các trường đại học

Trong thời đại kỹ thuật số ngày nay, ransomware đã trở thành một trong những mối đe dọa nguy hiểm nhất đối với cả cá nhân lẫn tổ chức. Ransomware không chỉ gây tổn thất về tài chính mà còn đe dọa đến sự bảo mật thông tin, uy tín và hoạt động kinh doanh của các tổ chức. Tiếp nối phần I đã trình bày trong số trước, phần II của bài viết nhóm tác giả sẽ tiếp tục giới thiệu tới độc giả một số kỹ năng cần thiết cho các tổ chức để ngăn ngừa và giảm thiểu tác động của các cuộc tấn công ransomware.

Nhóm tin tặc đến từ Nga đã khai thác lỗ hổng bảo mật được phát hiện gần đây trong phần mềm WinRAR như một phần của chiến dịch lừa đảo được thiết kế để thu thập thông tin của người dùng từ các hệ thống bị xâm nhập.