Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Nhóm tin tặc UNC6032 phát tán phần mềm độc hại thông qua các trang web giả mạo về công cụ AI

14:47 | 30/05/2025
Hồng Đạt

Theo báo cáo mới đây từ công ty an ninh mạng Mandiant (Mỹ), trong năm qua, một tác nhân đe dọa đã lợi dụng sự phổ biến của các công cụ trí tuệ nhân tạo (AI) để đánh lừa người dùng truy cập vào các trang web tạo nội dung giả mạo, từ đó lây nhiễm phần mềm độc hại vào hệ thống của họ.

Sử dụng các trang web giả mạo dưới dạng công cụ tạo video AI hợp pháp, Mandiant cảnh báo rằng nhóm tin tặc UNC6032 đến từ Việt Nam đã thực hiện các tấn công mạng đánh cắp thông tin, nhắm vào các nạn nhân trên khắp các khu vực địa lý và ngành công nghiệp khác nhau.

Chiến dịch lan rộng này đã diễn ra ít nhất từ ​​giữa năm 2024, dụ dỗ những nạn nhân nhẹ dạ cả tin truy cập vào các trang web giả mạo, thông qua hàng nghìn quảng cáo trên các nền tảng mạng xã hội như Facebook, LinkedIn và có khả năng là trên các nền tảng khác nữa.

Hầu hết các quảng cáo chạy trên Facebook, được xuất bản bằng các trang do kẻ tấn công tạo ra hoặc các tài khoản Facebook bị xâm phạm. Meta bắt đầu xóa một số quảng cáo, tên miền và tài khoản độc hại vào năm 2024, trước khi Mandiant thông báo về những phát hiện của mình.

Mandiant cho biết họ đã xác định được hơn 30 trang web giả mạo các công cụ phổ biến như Luma AI, Canva Dream Lab và Kling AI, được quảng bá thông qua mạng lưới hơn 120 quảng cáo trên mạng xã hội gây hiểu lầm, tiếp cận hàng triệu người dùng, trong đó có hơn 2,3 triệu người dùng ở châu Âu.

Hứa hẹn khả năng tạo văn bản thành video hoặc hình ảnh thành video, các trang web giả mạo hiển thị cùng một lời nhắc cho bất kỳ người dùng truy cập nào, sau đó cung cấp một tệp lưu trữ ZIP để tải xuống sau khi quá trình tạo video giả mạo được cho là hoàn tất.

Theo Mandiant, chuỗi lây nhiễm mà công ty quan sát được phụ thuộc rất nhiều vào kỹ thuật DLL sideloading, injection tiến trình và dropper vào bộ nhớ, đồng thời sử dụng key registry AutoRun để duy trì tính bền bỉ. Tệp ZIP chứa tệp thực thi mở rộng cung cấp dropper Starkveil đến máy tính của nạn nhân. Starkveil sau đó thực thi mã độc khác là Coilhatch, triển khai các backdoor XWorm và Frostrift .NET, cùng với downloader .NET Grimpull.

Mandiant quan sát thấy cả XWorm và Frostrift đều thu thập thông tin hệ thống, bao gồm tên người dùng, thông tin hệ điều hành, mã định danh phần cứng và chi tiết phần mềm diệt vi-rút. XWorm cũng chức năng keylogger, trong khi Frostrift kiểm tra một số ứng dụng nhắn tin, trình duyệt và tiện ích mở rộng trình duyệt.

Twitter Zalo Facebook YouTube Copy Link QR Code
TIN TẶC VIỆT NAM FACEBOOK DLL SIDELOADING XWORM ZIP KEYLOGGER QUẢNG CÁO GIẢ MẠO ĐÁNH CẮP THÔNG TIN UNC6032 GRIMPULL STARKVEIL CÔNG CỤ AI FROSTRIFT
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết