Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mạng mới tinh vi nhắm mục tiêu vào người dùng WhatsApp ở Brazil. Mã độc tự lây lan này được thiết kế để đánh cắp thông tin đăng nhập ngân hàng và sàn giao dịch tiền điện tử.

Cuộc tấn công, được phát hiện lần đầu vào ngày 29 tháng 9 năm 2025, thể hiện sự phát triển nguy hiểm trong các chiến thuật kỹ thuật xã hội. Đây là một ví dụ điển hình về tấn công mạng tận dụng lòng tin để phát tán tải trọng độc hại trên các mạng nhắn tin.

Chi tiết về Chiến dịch Tấn công Mạng

Phương thức lây nhiễm ban đầu

Chiến dịch tấn công mạng này bắt đầu khi nạn nhân nhận được các tin nhắn có vẻ hợp pháp. Các tin nhắn này đến từ các liên hệ WhatsApp đã bị nhiễm trước đó, thông qua phiên bản web của nền tảng.

Các tin nhắn chứa tệp nén ZIP với tên như “NEW-20251001_150505-XXX_XXXXXXX.zip”. Hoặc chúng sử dụng các thuật ngữ tiếng Bồ Đào Nha như “ORCAMENTO” (Ngân sách) và “COMPROVANTE” (Phiếu xác nhận) để tạo sự xác thực.

Thông điệp đặc biệt hướng dẫn người nhận rằng nội dung chỉ có thể xem trên máy tính. Điều này cố tình đưa nạn nhân rời xa thiết bị di động, nơi các biện pháp bảo vệ an ninh có thể mạnh mẽ hơn.

Chuỗi lây nhiễm PowerShell đa giai đoạn

Khi được tải xuống, tệp ZIP chứa một tệp Windows LNK độc hại. Tệp này kích hoạt một chuỗi lây nhiễm PowerShell đa giai đoạn phức tạp.

Các nhà nghiên cứu bảo mật tại Sophos đã phát hiện hoạt động PowerShell ban đầu này trên hơn 400 môi trường khách hàng, ảnh hưởng đến hơn 1.000 điểm cuối. Bạn có thể tìm hiểu thêm về mối đe dọa này tại báo cáo của Sophos.

Các lệnh PowerShell giai đoạn hai cố gắng vô hiệu hóa các biện pháp phòng thủ an ninh quan trọng. Các bình luận bằng tiếng Bồ Đào Nha nêu rõ ý định “thêm ngoại lệ trong Microsoft Defender” và “tắt UAC” (User Account Control).

Việc né tránh phòng thủ này cho phép triển khai hoặc công cụ tự động hóa trình duyệt Selenium để chiếm đoạt phiên, hoặc một trojan ngân hàng có tên Maverick. Maverick đặc biệt giám sát các kết nối tới các ngân hàng Brazil và sàn giao dịch tiền điện tử.

Mục tiêu và Công cụ Khai thác của Cuộc Tấn công Mạng

Công cụ Selenium và Trojan Ngân hàng Maverick

Khi nạn nhân truy cập các trang web tài chính mục tiêu, mã độc sẽ cài đặt một trojan ngân hàng .NET giàu tính năng. Mã độc này được thiết kế để đánh cắp thông tin đăng nhập và tạo điều kiện cho các giao dịch trái phép. Đây là một mục tiêu chính của tấn công mạng tài chính.

Sự tinh vi của tải trọng này cho thấy nguồn lực phát triển đáng kể và kiến thức chi tiết về hệ thống ngân hàng Brazil.

Sự tinh vi của Mã độc và Liên kết với các Chiến dịch trước

Các nhà nghiên cứu của Counter Threat Unit đã xác định các kết nối có thể có với các chiến dịch trước đây. Những chiến dịch này liên quan đến trojan ngân hàng Coyote, đã nhắm mục tiêu vào người dùng Brazil từ tháng 2 năm 2024 bằng các phương pháp phân phối tương tự.

Đặc điểm Tự lây lan và Ảnh hưởng

Khía cạnh đáng lo ngại nhất của chiến dịch tấn công mạng này là tính chất tự lây lan của nó. Sau khi lây nhiễm thành công, mã độc cố gắng tự phát tán đến các liên hệ WhatsApp của nạn nhân.

Điều này tạo ra một mạng lưới phân phối theo cấp số nhân, tận dụng lòng tin xã hội. Hành vi giống như sâu máy tính này làm tăng đáng kể phạm vi và hiệu quả của cuộc tấn công mạng.

Người nhận có nhiều khả năng mở tệp đính kèm từ các liên hệ đã biết. Đây là một rủi ro bảo mật lớn cần cảnh giác và nâng cao nhận thức về mối đe dọa mạng.

Nâng cao An ninh Mạng: Các Biện pháp Phòng ngừa và Bảo vệ

Khi các tác nhân đe dọa tiếp tục tinh chỉnh các chiến thuật kỹ thuật xã hội của họ, sự cảnh giác và nhận thức về bảo mật vẫn là tuyến phòng thủ đầu tiên chống lại các mối đe dọa mạng đang phát triển này.

Các chuyên gia bảo mật nhấn mạnh rằng cuộc tấn công này cho thấy bối cảnh mối đe dọa đang thay đổi. Tội phạm mạng ngày càng nhắm mục tiêu vào các nền tảng nhắn tin và kênh truyền thông xã hội.

Việc sử dụng WhatsApp Web cụ thể cho phép kẻ tấn công bỏ qua các biện pháp bảo mật di động. Đồng thời, nó khai thác sự phổ biến rộng rãi của nền tảng này ở Brazil, nơi WhatsApp là công cụ giao tiếp chính.

Các tổ chức và cá nhân có thể tự bảo vệ mình bằng cách giáo dục người dùng về rủi ro khi mở các tệp đính kèm đáng ngờ, ngay cả từ các liên hệ đã biết. Đây là một phần quan trọng của an ninh mạng hiệu quả.

Phản ứng nhanh chóng đối với các cảnh báo thực thi PowerShell có thể giúp ngăn chặn lây nhiễm ở giai đoạn đầu. Việc duy trì các giải pháp bảo mật điểm cuối được cập nhật cung cấp khả năng phòng thủ quan trọng chống lại các cuộc tấn công mạng đa giai đoạn tinh vi này.