Một chiến dịch tấn công mạng gần đây phát tán tệp LNK độc hại qua WhatsApp với URL tiếng Bồ Đào Nha, nhắm mục tiêu cụ thể vào các nạn nhân tại Brazil. Để tránh bị phát hiện, máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công sẽ xác minh từng lượt tải xuống để đảm bảo nó đến từ chính phần mềm độc hại. Toàn bộ chuỗi lây nhiễm này với mục đích cuối cùng là phát tán Trojan ngân hàng mới có tên Maverick, chứa nhiều code trùng lặp với mã độc Coyote. Dựa trên báo cáo của Kaspersky, bài viết sẽ trình bày chi tiết toàn bộ chuỗi tấn công, thuật toán mã hóa và các mục tiêu của chiến dịch, cũng như thảo luận về những điểm tương đồng với các mối đe dọa đã biết.

Ngày nay, không có gì ngạc nhiên khi các mô-đun độc hại đang trở nên phổ biến hơn. Khi một tài khoản bảo trì cho các mô-đun hoặc một gói phụ thuộc phổ biến bị xâm phạm, nó có thể nhanh chóng phát triển thành một cuộc tấn công chuỗi cung ứng. Những vụ xâm phạm như vậy hiện là một vectơ tấn công thường xuyên có xu hướng giữa các tác nhân đe dọa. Chỉ riêng trong tháng 8/2025, đã có hai sự cố lớn liên quan đến các mô-đun độc hại. Bài viết này sẽ cùng tìm hiểu và khám phá một vụ xâm phạm gần đây liên quan đến việc lây nhiễm npm do phần mềm độc hại Shai-Hulud gây ra, dựa trên báo cáo của hãng bảo mật Kasperksy.

RevengeHotels (còn được gọi TA558) là một nhóm tin tặc hoạt động từ năm 2015, chuyên đánh cắp dữ liệu thẻ tín dụng của khách lưu trú và khách du lịch tại khách sạn. Phương thức hoạt động của RevengeHotels bao gồm gửi email chứa liên kết lừa đảo, chuyển hướng nạn nhân đến các trang web giả mạo lưu trữ tài liệu. Các trang web này sau đó tải xuống các tệp lệnh để lây nhiễm vào các máy tính mục tiêu. Các gói tin cuối cùng bao gồm nhiều loại Trojan truy cập từ xa (RAT), cho phép tin tặc ra lệnh kiểm soát các hệ thống bị xâm nhập, đánh cắp dữ liệu nhạy cảm và duy trì hoạt động, cùng nhiều hoạt động độc hại khác.

DeepSeek-R1 là một trong những mô hình ngôn ngữ lớn (LLM) phổ biến nhất hiện nay, tuy nhiên cũng chính vì điều này mà các tác nhân đe dọa đã lợi dụng DeepSeek để thực hiện cài cắm mã độc. Thời gian qua, các tin tặc bắt đầu sử dụng quảng cáo độc hại để khai thác nhu cầu về chatbot. Các nhà nghiên cứu của hãng bảo mật Kaspersky vừa phát hiện một chiến dịch độc hại mới phân phối mã độc thông qua trình cài đặt môi trường LLM DeepSeek-R1 giả mạo. Phần mềm độc hại được phân phối thông qua một trang web lừa đảo ngụy trang thành trang chủ chính thức của DeepSeek. Các cuộc tấn công cuối cùng nhằm mục đích cài đặt BrowserVenom, một phần mềm độc hại có khả năng cấu hình lại tất cả các phiên bản duyệt web, chuyển hướng lưu lượng truy cập thông qua một proxy do các tác nhân đe dọa kiểm soát. Điều này cho phép chúng thao túng lưu lượng truy cập mạng của nạn nhân và thu thập dữ liệu. Dựa trên báo cáo của Kaspersky, bài viết này sẽ cùng phân tích và khám phá DeepSeek-R1.

Các nhà nghiên cứu tới từ công ty an ninh mạng Group-IB (Singapore) vừa phát hiện một chiến dịch tấn công mạng mới vô cùng tinh vi, lạm dụng các thuộc tính mở rộng của tệp macOS để phát tán một loại Trojan mới có tên gọi là “RustyAttr”. Bài viết này sẽ cùng phân tích và tìm hiểu về kỹ thuật tấn công này, dựa trên báo cáo của Group-IB.

Các ứng dụng mật mã đòi hỏi các số ngẫu nhiên cho nhiều tác vụ khác nhau. Một bộ tạo bit ngẫu nhiên mật mã mạnh phù hợp với các ứng dụng mật mã chung được kỳ vọng sẽ cung cấp các chuỗi bit đầu ra không thể phân biệt với bất kỳ khả năng nỗ lực tính toán thực thể và trên thực tế bất kỳ kích thước mẫu từ các chuỗi bit có cùng độ dài được lấy ngẫu nhiên một cách đồng nhất. Hơn nữa, một RBG như vậy được kỳ vọng sẽ cung cấp khả năng tăng cường an toàn. Bài viết này sẽ giới thiệu tới độc giả những nội dung chính trong tiêu chuẩn ISO/IEC 20543:2019 về phương pháp kiểm thử và phân tích cho các bộ tạo bit ngẫu nhiên.

Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.

Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.

Trong vài năm qua, các máy chủ Linux đã ngày càng trở thành mục tiêu nổi bật của các tác nhân đe dọa. Mới đây, Kaspersky đã tiết lộ một chiến dịch độc hại trong đó một trình cài đặt phần mềm có tên “Free Download Manager” được các tin tặc sử dụng để cài đặt backdoor trên các máy chủ Linux kéo dài trong suốt 3 năm qua. Các nhà nghiên cứu phát hiện ra rằng nạn nhân đã bị lây nhiễm khi họ tải xuống phần mềm từ trang web chính thức, cho thấy đây có thể là một cuộc tấn công chuỗi cung ứng. Các biến thể của phần mềm độc hại được sử dụng trong chiến dịch này lần đầu tiên được xác định vào năm 2013.