Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Microsoft ngăn chặn các cuộc tấn công mã độc tống tiền nhắm vào người dùng Teams

10:00 | 18/10/2025
Hồng Đạt

Vừa qua, Microsoft đã ngăn chặn làn sóng tấn công mã độc tống tiền Rhysida vào đầu tháng 10/2025, bằng cách thu hồi hơn 200 chứng thư số được sử dụng để ký các trình cài đặt Teams độc hại.

Vanilla Tempest - nhóm tin tặc đứng sau các cuộc tấn công đã sử dụng các tên miền mạo danh Microsoft Teams, chẳng hạn như teams-install[.]top, teams-download[.]buzz, teams-download[.]top và teams-install[.]run, nhằm phân phối các tệp MSTeamsSetup[.]exe để lây nhiễm cho nạn nhân bằng backdoor Oyster.

Các cuộc tấn công này là một phần của chiến dịch độc hại vào cuối tháng 9/2025, khi các tác nhân đe dọa sử dụng quảng cáo trên các công cụ tìm kiếm và đầu độc SEO, nhằm phân phối trình cài đặt Microsoft Teams giả mạo và từ đó cài đặt Oyster (còn gọi là Broomstick và CleanUpLoader) vào các thiết bị Windows. Khi người dùng click vào đường link hiển thị nổi bật trên trang web giả mạo đó, một tệp có tên MSTeamsSetup[.]exe sẽ được tải xuống, cùng với tên tệp được sử dụng bởi trình cài đặt Teams độc hại.

Sau khi thực thi, trình cài đặt này khởi chạy loader để cài đặt mã độc Oyster đã ký số, cấp cho kẻ tấn công quyền truy cập từ xa vào các hệ thống bị nhiễm và cho phép chúng đánh cắp tệp, thực thi lệnh và nhúng thêm các phần mềm độc hại.

Trang web giả mạo Microsoft Teams

Vanilla Tempest đã sử dụng backdoor Oyster kể từ tháng 6/2025, lạm dụng Trusted Signing cùng với các dịch vụ ký số từ SSL.com, DigiCert và GlobalSign bắt đầu từ tháng 9/2025.

Thực tế, Oyster được phát hiện lần đầu vào giữa năm 2023 và từng xuất hiện trong các cuộc tấn công Rhysida trước đó, mã độc này thường lây nhiễm thông qua phần mềm quảng cáo mạo danh các phần mềm công nghệ thông tin như PuTTY và WinSCP.

Microsoft cho biết: “Vanilla Tempest còn biết đến với các tên gọi như VICE SPIDER và Vice Society. Đây là một nhóm tin tặc có động cơ tài chính, tập trung vào việc triển khai mã độc tống tiền và đánh cắp dữ liệu. Kẻ tấn công đã sử dụng nhiều loại phần mềm độc hại khác nhau, bao gồm BlackCat, Quantum Locker và Zeppelin, gần đây chủ yếu phân phối mã độc tống tiền Rhysida".

Hoạt động ít nhất từ ​​tháng 6/2021, Vanilla Tempest thường xuyên tấn công các tổ chức trong lĩnh vực giáo dục, y tế, công nghệ thông tin và sản xuất. Khi hoạt động dưới tên gọi Vice Society, nhóm tin tặc này đã sử dụng nhiều loại mã độc tống tiền, nổi bật trong đó bao gồm Hello Kitty/Five Hands và Zeppelin.

Twitter Zalo Facebook YouTube Copy Link QR Code
MÃ ĐỘC TỐNG TIỀN NGĂN CHẶN RHYSIDA GIẢ MẠO ĐẦU ĐỘC SEO ĐÁNH CẮP THÔNG TIN OYSTER BACKDOOR PHÂN PHỐI MÃ ĐỘC PHẦN MỀM ĐỘC HẠI MICROSOFT VANILLA TEMPEST VICE SOCIETY MICROSOFT TEAMS
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết