An ninh mạng

Cảnh báo: Chiến dịch phát tán malware qua WhatsApp nhắm vào người dùng tại Việt Nam

Các chuyên gia bảo mật phát hiện chiến dịch tấn công sử dụng file VBScript giả mạo tài liệu kinh doanh trên WhatsApp để cài đặt phần mềm quản trị từ xa (RMM) trái...

Nguyen Hung
23 Tháng 6, 2026 2 Min Read
3 0

Một chiến dịch tấn công mạng đang diễn ra trên quy mô toàn cầu, nhắm trực tiếp vào người dùng WhatsApp Desktop và WhatsApp Web. Kẻ tấn công sử dụng các file VBScript độc hại, được ngụy trang dưới dạng tài liệu kinh doanh hoặc báo cáo tài chính để lừa người dùng tải về và thực thi.

Table Of Content

Theo báo cáo từ Kaspersky, chiến dịch này đang ảnh hưởng đến người dùng tại nhiều quốc gia, bao gồm cả Việt Nam, Malaysia, Brazil, Ấn Độ và Anh. Trong đó, Malaysia là khu vực ghi nhận số lượng nạn nhân cao nhất.

Cơ chế lây nhiễm tinh vi

Kẻ tấn công dường như đã chiếm quyền điều khiển các tài khoản WhatsApp hợp lệ để phát tán file độc hại tới danh sách liên hệ của nạn nhân. Các file này thường có tên gọi gây nhầm lẫn như “Financial Reports.vbs” hoặc “Account Statement.vbs”. Để tăng độ tin cậy, mã nguồn của các file VBScript này được chèn thêm các đoạn chú thích (comment) và metadata giả mạo, mô phỏng các thành phần của Windows Update như kiểm tra chứng chỉ và tính toàn vẹn của hệ thống.

Khi được thực thi thông qua WScript.exe, malware sẽ khởi chạy chuỗi lây nhiễm đa giai đoạn:

  • Đối với WhatsApp Web: Người dùng bị lừa tải xuống và tự tay mở file độc hại từ thư mục download hoặc trình duyệt.
  • Đối với WhatsApp Desktop: Malware có thể được kích hoạt trực tiếp từ ứng dụng, với tiến trình WhatsApp.Root.exe vô tình khởi chạy WScript.exe.

Mục tiêu cuối cùng của chuỗi tấn công là tải về và cài đặt phần mềm quản trị từ xa hợp pháp (RMM) có tên ManageEngine RMM Central, cho phép kẻ tấn công kiểm soát toàn bộ hệ thống của nạn nhân.

Dấu vết kỹ thuật

Các chuyên gia bảo mật nhận thấy hạ tầng mạng được sử dụng trong chiến dịch này (địa chỉ IP 202.61.160[.]201) có sự tương đồng với các hoạt động của Gh0st RATValleyRAT trong quá khứ, dù danh tính thực sự của nhóm tấn công vẫn chưa được xác định.

Khuyến cáo bảo mật

Kaspersky cảnh báo người dùng cần hết sức thận trọng với các file đính kèm bất thường trên WhatsApp, ngay cả khi chúng được gửi từ những người trong danh bạ. Người dùng tuyệt đối không nên mở các định dạng file thực thi hoặc script như VBS, VBE, EXE, BAT, CMD, JS, hoặc PS1 nếu chưa xác minh rõ nguồn gốc và tính hợp lệ của chúng.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept