An ninh mạng

Cảnh báo: AI Chatbot đang bị lợi dụng để phát tán mã độc đào tiền ảo

Microsoft phát hiện chiến dịch tấn công mới sử dụng AI chatbot để điều hướng người dùng tải về các phần mềm giả mạo, từ đó cài đặt mã độc cryptojacking và chiếm quyền điều khiển từ...

Nguyen Hung
28 Tháng 5, 2026 2 Min Read
5 0

Microsoft vừa đưa ra cảnh báo về một chiến dịch tấn công tinh vi, trong đó các chatbot AI đang bị lợi dụng để dẫn dụ người dùng truy cập vào các trang web tải phần mềm độc hại. Thay vì chỉ dựa vào kết quả tìm kiếm truyền thống, kẻ tấn công đã mở rộng phạm vi sang các mô hình ngôn ngữ lớn (LLM) để thực hiện hành vi ‘đầu độc’ kết quả gợi ý.

Table Of Content

Phương thức tấn công: Từ SEO Poisoning đến AI Poisoning

Theo đội ngũ nghiên cứu của Microsoft Defender, kẻ tấn công giả mạo các tiện ích hệ thống phổ biến như CrystalDiskInfo, HWMonitor, hay FurMark. Mục tiêu chính là những người dùng sở hữu GPU hiệu năng cao, nhằm tối ưu hóa khả năng đào tiền ảo trên thiết bị bị nhiễm. Thay vì phát tán đại trà, chiến dịch này nhắm vào các máy tính có giá trị khai thác cao.

Khi người dùng đặt câu hỏi cho chatbot AI về các phần mềm cần tải, chatbot sẽ đưa ra các liên kết dẫn đến những tên miền do kẻ tấn công kiểm soát. Đây là bước tiến mới của kỹ thuật SEO poisoning, chuyển dịch từ công cụ tìm kiếm truyền thống sang các phản hồi từ AI.

Cơ chế lây nhiễm và duy trì quyền truy cập

Sau khi tải về tệp tin ZIP từ các tên miền độc hại, người dùng sẽ vô tình kích hoạt một tệp thực thi hợp pháp đi kèm với tệp DLL độc hại (autorun.dll). Quá trình này sử dụng kỹ thuật DLL sideloading để cài đặt ScreenConnect, một công cụ quản lý từ xa, giúp kẻ tấn công thiết lập quyền truy cập bền vững vào hệ thống.

Mã độc sau đó thực hiện các bước:

  • Thiết lập persistence thông qua Registry Run keys và scheduled tasks.
  • Cấu hình loại trừ (exclusion) trong Microsoft Defender để tránh bị phát hiện.
  • Sử dụng kỹ thuật process hollowing để chạy mã đào tiền ảo (gminer, lolMiner, SRBMiner-MULTI) dưới các tiến trình hợp pháp của Microsoft.
  • Tự động tắt mã độc nếu phát hiện các công cụ giám sát hệ thống như Task Manager hoặc Process Hacker đang chạy.

Lời khuyên cho người dùng và doanh nghiệp

Microsoft nhấn mạnh rằng sự kết hợp giữa việc lợi dụng AI, giả mạo phần mềm và duy trì quyền truy cập từ xa cho thấy chiến lược của tội phạm mạng đang thay đổi nhanh chóng theo hành vi người dùng hiện đại. Các tổ chức cần duy trì tư thế ‘xác minh thận trọng’, không nên mặc định tin tưởng vào các công cụ hay nhà cung cấp thứ ba mà cần kiểm tra hành vi thực tế của chúng trong môi trường mạng nội bộ.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept