Điểm tin an ninh mạng: Từ mã độc trong game đến chiêu trò lợi dụng Chrome Sync
Tuần này ghi nhận nhiều diễn biến phức tạp trong thế giới an ninh mạng: các gói NuGet độc hại giả dạng công cụ game, chiến dịch ransomware tấn công thần tốc trong 24 giờ và những lỗ hổng bị khai thác...
Tuần này, bức tranh an ninh mạng tiếp tục bị bao phủ bởi những mối đe dọa tinh vi. Từ các công cụ hỗ trợ chơi game chứa spyware cho đến việc lạm dụng các tính năng đồng bộ hóa hợp lệ để theo dõi người dùng, kẻ tấn công đang cho thấy sự linh hoạt trong việc khai thác cả lỗ hổng kỹ thuật lẫn hành vi người dùng.
Table Of Content
- 1. Mã độc ẩn mình trong công cụ hỗ trợ chơi game
- 2. Chiến dịch phát tán RAT qua trình cài đặt giả mạo
- 3. Ransomware tấn công thần tốc trong 24 giờ
- 4. Cảnh báo lỗ hổng bị khai thác tích cực
- 5. Lạm dụng Chrome Sync để theo dõi
- 6. Kỹ thuật né tránh EDR bằng Windows Bind Links
- 7. Phishing qua eCard và công cụ AI
1. Mã độc ẩn mình trong công cụ hỗ trợ chơi game
Các nhà nghiên cứu bảo mật vừa phát hiện 11 gói NuGet độc hại trên .NET, giả dạng làm các công cụ hỗ trợ game, bot và bảng điều khiển (panel). Khi được cài đặt, chúng đóng vai trò là trình tải xuống giai đoạn đầu, tự động lấy và thực thi payload Python có tên “pepesoft.exe” từ GitHub hoặc Hugging Face. Mã độc này không chỉ có khả năng kiểm soát phần cứng mà còn tích hợp bot Telegram để gửi ảnh chụp màn hình thiết bị của nạn nhân về cho kẻ tấn công.
2. Chiến dịch phát tán RAT qua trình cài đặt giả mạo
Nhóm tội phạm mạng UAT-11795 đang thực hiện chiến dịch nhắm vào người dùng tại Mỹ và châu Âu bằng cách giả mạo các trình cài đặt phần mềm phổ biến như MobaXterm, WebEx, Zoom và DBeaver. Chúng sử dụng kỹ thuật ClickFix để phát tán Starland RAT và WLDR agent – một loại implant PowerShell tinh vi hoạt động trong bộ nhớ, cho phép kẻ tấn công duy trì kết nối bền vững và đánh cắp thông tin xác thực cũng như ví tiền điện tử.
3. Ransomware tấn công thần tốc trong 24 giờ
Một công ty dịch vụ IT tại Nam Á đã trở thành nạn nhân của dòng ransomware mới mang tên Spirals. Chỉ trong vòng chưa đầy 24 giờ kể từ khi xâm nhập thành công qua một web shell trên máy chủ IIS, kẻ tấn công đã thực hiện leo thang đặc quyền, vô hiệu hóa phần mềm bảo mật và mã hóa toàn bộ dữ liệu trên mạng lưới. Hiện tại, danh tính của nhóm này vẫn là một ẩn số.
4. Cảnh báo lỗ hổng bị khai thác tích cực
CISA đã bổ sung hai lỗ hổng vào danh mục Known Exploited Vulnerabilities (KEV): CVE-2026-46817 (trong Oracle E-Business Suite) và một lỗ hổng trong giao thức KNX. Các cơ quan liên bang được yêu cầu phải áp dụng bản vá ngay lập tức để ngăn chặn các cuộc tấn công đang diễn ra.
5. Lạm dụng Chrome Sync để theo dõi
Một kỹ thuật tưởng chừng như tiện ích là Chrome Sync đang bị kẻ xấu lợi dụng để theo dõi nạn nhân. Chỉ cần truy cập vật lý vào thiết bị trong thời gian ngắn, kẻ tấn công có thể đăng nhập tài khoản Google của chúng vào trình duyệt Chrome trên máy nạn nhân và bật tính năng đồng bộ. Mọi lịch sử duyệt web, mật khẩu và dữ liệu tự động điền sau đó sẽ được gửi trực tiếp về thiết bị của kẻ tấn công.
6. Kỹ thuật né tránh EDR bằng Windows Bind Links
Bitdefender Labs đã chứng minh ba kỹ thuật sử dụng tính năng “bind links” của Windows để qua mặt các giải pháp EDR. Bằng cách ánh xạ các đường dẫn tệp hoặc tiến trình đáng tin cậy, kẻ tấn công có đặc quyền quản trị viên có thể vượt qua các cơ chế bảo vệ như AMSI và AppLocker. Mặc dù Microsoft đánh giá mức độ nghiêm trọng là thấp do yêu cầu quyền admin, đây vẫn là một phương thức đáng lưu tâm trong các cuộc tấn công có chủ đích.
7. Phishing qua eCard và công cụ AI
Chiến dịch SeasonalInvite đang sử dụng các chủ đề eCard theo mùa để lừa người dùng tải xuống các công cụ quản trị từ xa (RMM) như ConnectWise ScreenConnect hay LogMeIn. Đáng chú ý, các trang web lừa đảo này được tạo ra bởi các bộ kit tích hợp AI, giúp kẻ tấn công thay đổi nội dung nhanh chóng để né tránh các bộ lọc bảo mật tự động.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.