An ninh mạng

Cảnh báo chiến dịch Phishing giả mạo ảnh qua file ZIP nhắm vào ngành khách sạn

Microsoft vừa phát đi cảnh báo về một chiến dịch phishing tinh vi sử dụng các file ZIP giả mạo ảnh để phát tán mã độc Node.js nhắm vào các tổ chức khách sạn tại châu Âu và châu...

Nguyen Hung
26 Tháng 6, 2026 2 Min Read
2 0

Microsoft vừa đưa ra cảnh báo về một chiến dịch phishing đang hoạt động mạnh mẽ kể từ tháng 4/2026, nhắm mục tiêu cụ thể vào các tổ chức trong lĩnh vực khách sạn và dịch vụ lưu trú tại châu Âu và châu Á. Kẻ tấn công sử dụng các file ZIP có chủ đề về ảnh để phát tán một loại mã độc Node.js (được theo dõi với tên gọi TonRAT) lên máy tính của nhân viên lễ tân.

Table Of Content

Phương thức tấn công tinh vi

Kẻ tấn công sử dụng các email phishing với tên hiển thị “Booking Manager (via Calendly)”, nội dung thường xoay quanh các khiếu nại của khách hàng, vấn đề vệ sinh phòng ốc hoặc các yêu cầu đặt phòng. Điểm đáng chú ý là chiến dịch này sử dụng kỹ thuật authentication laundering: tin nhắn được gửi thông qua hệ thống thông báo của Calendly và các dịch vụ chuyển hướng của Google. Điều này giúp email vượt qua các kiểm tra bảo mật như SPF, DKIM và DMARC vì chúng được gửi từ hạ tầng hợp lệ.

Sau khi người dùng nhấp vào liên kết, họ sẽ được dẫn qua một chuỗi chuyển hướng để tải về file ZIP chứa shortcut giả dạng hình ảnh (ví dụ: IMG- .png.lnk). Khi mở file này, PowerShell sẽ được kích hoạt, giải mã URL ẩn và tải về một môi trường runtime Node.js hợp lệ để chạy mã độc JavaScript mà không cần cài đặt Node.js trên toàn hệ thống.

Đặc điểm của mã độc TonRAT

Mã độc này sử dụng API của blockchain TON để phân giải các domain C2 (Command and Control), giúp kẻ tấn công linh hoạt thay đổi địa chỉ máy chủ và vô hiệu hóa các danh sách chặn (blocklist) tĩnh. Sau khi xâm nhập, mã độc thiết lập kênh WebSocket mã hóa để liên lạc với máy chủ điều khiển qua các cổng không tiêu chuẩn.

Khuyến nghị bảo mật

Microsoft nhấn mạnh rằng việc xử lý sự cố này đòi hỏi sự cẩn trọng. Quản trị viên cần kiểm tra kỹ các đường dẫn persistence (RunOnce entry trong ProgramData và Node.js Run key), đồng thời xóa bỏ hoàn toàn các file runtime và script .js nằm trong thư mục AppData\Local\Nodejs. Các hệ thống máy tính tại quầy lễ tân, bộ phận đặt phòng và văn phòng tiền sảnh là những vị trí cần được ưu tiên rà soát ngay lập tức.

Hiện tại, mục tiêu cuối cùng của nhóm tấn công vẫn chưa được xác định rõ ràng, tuy nhiên khả năng duy trì quyền truy cập bền bỉ vào hệ thống khiến đây trở thành một mối đe dọa cần được chú trọng đặc biệt.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept