VietNetwork.Vn

Microsoft đang kêu gọi chú ý đến một chiến dịch lừa đảo mới chủ yếu nhắm vào các tổ chức có trụ sở tại Hoa Kỳ, có khả năng đã sử dụng mã được tạo bằng mô hình ngôn ngữ lớn (LLM) để che giấu dữ liệu và tránh né các biện pháp phòng thủ bảo mật.

Nhóm Microsoft Threat Intelligence cho biết trong một phân tích được công bố tuần trước : "Có vẻ như được hỗ trợ bởi một mô hình ngôn ngữ lớn (LLM), hoạt động này đã che giấu hành vi của nó trong tệp SVG, tận dụng thuật ngữ kinh doanh và cấu trúc tổng hợp để che giấu ý định xấu".


Hoạt động này được phát hiện vào ngày 28 tháng 8 năm 2025, cho thấy các tác nhân đe dọa đang ngày càng áp dụng các công cụ trí tuệ nhân tạo (AI) vào quy trình làm việc của họ, thường với mục đích tạo ra các mồi nhử lừa đảo thuyết phục hơn, tự động hóa việc che giấu phần mềm độc hại và tạo ra mã bắt chước nội dung hợp pháp.

Trong chuỗi tấn công được nhà sản xuất Windows ghi nhận, kẻ xấu đã lợi dụng tài khoản email doanh nghiệp đã bị xâm nhập để gửi tin nhắn lừa đảo nhằm đánh cắp thông tin đăng nhập của nạn nhân. Các tin nhắn này có tính năng dụ dỗ, giả mạo thông báo chia sẻ tệp để dụ họ mở tệp trông giống như một tài liệu PDF, nhưng thực chất là tệp Scalable Vector Graphics (SVG).

Điều đáng chú ý về các tin nhắn này là kẻ tấn công sử dụng chiến thuật gửi email tự định địa chỉ, trong đó địa chỉ người gửi và người nhận trùng khớp và mục tiêu thực tế được ẩn trong trường BCC để vượt qua các phương pháp phát hiện cơ bản.

Microsoft cho biết: "Các tệp SVG (Đồ họa vectơ có thể mở rộng) hấp dẫn kẻ tấn công vì chúng dựa trên văn bản và có thể viết mã, cho phép chúng nhúng JavaScript và các nội dung động khác trực tiếp vào tệp. Điều này cho phép phát tán các nội dung lừa đảo tương tác mà cả người dùng và nhiều công cụ bảo mật đều có vẻ vô hại."

Ngoài ra, định dạng tệp SVG còn hỗ trợ các tính năng như thành phần vô hình, thuộc tính được mã hóa và thực thi tập lệnh bị trì hoãn khiến nó trở nên lý tưởng cho những kẻ tấn công muốn tránh phân tích tĩnh và hộp cát, báo cáo cho biết thêm.

Tệp SVG, sau khi được khởi chạy, sẽ chuyển hướng người dùng đến một trang có CAPTCHA để xác minh bảo mật. Sau khi hoàn tất, người dùng có thể được chuyển đến một trang đăng nhập giả mạo để đánh cắp thông tin đăng nhập. Microsoft cho biết giai đoạn tiếp theo chính xác vẫn chưa rõ ràng do hệ thống của họ đã đánh dấu và vô hiệu hóa mối đe dọa.

Nhưng điểm khác biệt của cuộc tấn công này là cách tiếp cận che giấu bất thường bằng cách sử dụng ngôn ngữ liên quan đến kinh doanh để che giấu nội dung lừa đảo trong tệp SVG -- một dấu hiệu cho thấy nội dung đó có thể được tạo bằng LLM.

"Đầu tiên, phần đầu của mã SVG được cấu trúc trông giống như một bảng điều khiển phân tích kinh doanh hợp pháp", Microsoft cho biết. "Chiến thuật này được thiết kế để đánh lừa bất kỳ ai tình cờ xem tệp, khiến người ta nghĩ rằng mục đích duy nhất của SVG là trực quan hóa dữ liệu kinh doanh. Tuy nhiên, trên thực tế, đó chỉ là một mồi nhử."

Khía cạnh thứ hai là chức năng cốt lõi của payload – tức là chuyển hướng người dùng đến trang đích lừa đảo ban đầu, kích hoạt dấu vân tay trình duyệt và bắt đầu theo dõi phiên – cũng bị che khuất bằng một chuỗi dài các thuật ngữ liên quan đến doanh nghiệp như doanh thu, hoạt động, rủi ro, hàng quý, tăng trưởng hoặc cổ phiếu.

Microsoft cho biết họ đã chạy thử mã trên Security Copilot và phát hiện ra rằng chương trình này "không phải là thứ mà con người thường viết từ đầu do tính phức tạp, rườm rà và thiếu tiện ích thực tế". Một số chỉ số được sử dụng để đi đến kết luận này bao gồm việc sử dụng -

    Đặt tên quá mô tả và thừa cho các hàm và biến
    Cấu trúc mã có tính mô-đun cao và được thiết kế quá mức
    Bình luận chung chung và dài dòng
    Các kỹ thuật công thức để đạt được sự tối nghĩa bằng cách sử dụng thuật ngữ kinh doanh
    Khai báo CDATA và XML trong tệp SVG, có thể là để cố gắng mô phỏng các ví dụ về tài liệu

Microsoft cho biết: "Mặc dù chiến dịch này có phạm vi hạn chế và đã bị chặn hiệu quả, nhưng nhiều kẻ tấn công đang ngày càng sử dụng nhiều kỹ thuật tương tự".

Tiết lộ này được đưa ra sau khi Forcepoint trình bày chi tiết một chuỗi tấn công nhiều giai đoạn, sử dụng email lừa đảo có tệp đính kèm.XLAM để thực thi shellcode, cuối cùng triển khai XWorm RAT thông qua một payload thứ cấp, đồng thời hiển thị một tệp Office trống hoặc bị hỏng như một chiêu trò. Payload thứ cấp này hoạt động như một đường dẫn để tải tệp.DLL vào bộ nhớ.

"Tệp.DLL giai đoạn hai từ bộ nhớ sử dụng các kỹ thuật đóng gói và mã hóa được che giấu kỹ lưỡng", Forcepoint cho biết. "Tệp.DLL giai đoạn hai này lại tải một tệp.DLL khác vào bộ nhớ bằng cách sử dụng kỹ thuật tiêm DLL phản chiếu, sau đó chịu trách nhiệm thực thi phần mềm độc hại cuối cùng."

"Bước tiếp theo và cuối cùng là thực hiện tiêm mã độc vào tệp thực thi chính của nó, duy trì tính bền bỉ và đánh cắp dữ liệu đến các máy chủ chỉ huy và điều khiển. Các máy chủ C2 nơi dữ liệu bị đánh cắp được phát hiện có liên quan đến họ XWorm."


Theo Cofense, trong những tuần gần đây, các cuộc tấn công lừa đảo cũng sử dụng các chiêu trò liên quan đến Cục An sinh Xã hội Hoa Kỳ và vi phạm bản quyền để phân phối ScreenConnect ConnectWise và các phần mềm đánh cắp thông tin như Lone None Stealer và PureLogs Stealer.

"Chiến dịch này thường giả mạo các công ty luật khác nhau, yêu cầu gỡ bỏ nội dung vi phạm bản quyền trên trang web hoặc trang mạng xã hội của nạn nhân", công ty bảo mật email cho biết về đợt tấn công thứ hai. "Chiến dịch này đáng chú ý vì cách sử dụng trang hồ sơ bot Telegram mới lạ để phân phối tải trọng ban đầu, mã hóa các tải trọng tập lệnh Python đã biên dịch, và độ phức tạp ngày càng tăng, thể hiện qua nhiều lần lặp lại các mẫu chiến dịch."