An ninh mạng

Cảnh báo: Các trang web giả mạo công cụ mã nguồn mở đang phát tán malware tinh vi

Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch quy mô lớn sử dụng các trang web giả mạo công cụ mã nguồn mở để điều hướng người dùng đến hệ thống phân phối malware (TDS) và cài đặt các loại...

Nguyen Hung
5 Tháng 6, 2026 2 Min Read
2 0

Một chiến dịch tấn công mạng quy mô lớn đang nhắm vào người dùng tìm kiếm các công cụ mã nguồn mở và phần mềm miễn phí. Kẻ tấn công đã xây dựng các trang web giả mạo trông rất chuyên nghiệp, bắt chước giao diện của các dự án uy tín như Ghidra, dnSpy hay SpiderFoot để đánh lừa người dùng tải xuống mã độc.

Table Of Content

Cơ chế tấn công qua Traffic Distribution System (TDS)

Theo các chuyên gia từ Check Point, các trang web này không chỉ đơn thuần chứa mã độc mà còn sử dụng một hệ thống phân phối lưu lượng (TDS) phức tạp. Khi người dùng nhấn nút “Download”, một lớp JavaScript được lưu trữ trên CloudFront sẽ kích hoạt quy trình điều hướng. Hệ thống này thực hiện kiểm soát rất chặt chẽ: chỉ cho phép người dùng thật, lọc bỏ bot, các phân tích bảo mật, VPN và trung tâm dữ liệu để tránh bị phát hiện.

Điểm tinh vi là khi người dùng di chuột qua nút tải xuống, trình duyệt vẫn hiển thị đường dẫn thực tế của công cụ gốc, tạo cảm giác an toàn giả tạo. Tuy nhiên, khi nhấp chuột, người dùng sẽ bị dẫn dắt qua một chuỗi redirect để cuối cùng nhận về các payload độc hại.

Các loại mã độc nguy hiểm

Chiến dịch này phát tán nhiều loại malware khác nhau, bao gồm:

  • SessionGate: Một loader đa giai đoạn có khả năng chống phân tích mạnh mẽ, thường được dùng để cài đặt các ứng dụng không mong muốn (PUA).
  • Remus Stealer: Một loại info-stealer hoạt động theo mô hình Malware-as-a-Service (MaaS), có khả năng đánh cắp dữ liệu từ hơn 20 trình duyệt, ví tiền điện tử, trình quản lý mật khẩu và các công cụ 2FA.
  • AnimateClipper: Một loại mã độc chuyên thay thế địa chỉ ví tiền điện tử trong clipboard của người dùng nhằm chiếm đoạt tài sản.

Mục tiêu là gì?

Các nhà nghiên cứu cho rằng mục tiêu chính của chiến dịch này là thu thập lưu lượng truy cập để kiếm tiền. Tuy nhiên, bằng cách tích hợp lớp TDS, kẻ tấn công có thể linh hoạt chuyển hướng người dùng đến các payload độc hại tùy chọn. Đáng chú ý, nếu hệ thống phát hiện cùng một địa chỉ IP truy cập nhiều lần, nó sẽ chuyển hướng người dùng tải về các phần mềm vô hại (như trình duyệt Opera) để tránh bị nghi ngờ.

Người dùng được khuyến cáo nên kiểm tra kỹ địa chỉ URL trước khi tải xuống bất kỳ công cụ nào, ưu tiên tải trực tiếp từ kho lưu trữ chính thức trên GitHub hoặc trang chủ của dự án thay vì các kết quả tìm kiếm quảng cáo hoặc trang web lạ.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept