Ảnh minh họa

Hàng loạt mã độc, lỗ hổng mới bị phát hiện

Theo ghi nhận trong tháng 11/2025, trên không gian mạng xuất hiện nhiều chiến dịch tấn công nhắm vào các tổ chức tại Hà Tĩnh. Hệ thống quản trị mã độc tập trung phát hiện một số dòng mã độc nguy hiểm đang lây lan, trong đó có nguy cơ bị đối tượng lợi dụng để giành quyền kiểm soát hệ thống, đánh cắp dữ liệu và triển khai tấn công ransomware. Trước tình hình này, Công an tỉnh đã phát đi cảnh báo và hướng dẫn các biện pháp ứng phó.

Mã độc gián điệp AMDHealthCheckerV12

• Mức độ: Rất nghiêm trọng.

• Hình thức lây nhiễm: Thông qua các phần mềm giả mạo mà người dùng tải về. Sau khi xâm nhập, mã độc tạo tác vụ theo lịch (Scheduled Task) mang tên “AMDHealthCheckerV 12” để tự khởi động mỗi lần mở máy.

• Nguy cơ: Vô hiệu hóa Windows Defender, đánh cắp thông tin tài khoản ngân hàng, ví điện tử, ghi lại thao tác bàn phím, thu thập tài liệu trên máy.

• Khuyến nghị: Quản trị viên cần cấu hình tường lửa chặn kết nối đến các tên miền độc hại “sl336z.grpc-test.me”, “ltwyq.experimental-tech.com”, “gaylorr.icu”, “baumbahh.run”, “bnrgnaum.live”; kiểm tra và xử lý tác vụ “AMDHealthCheckerV 12” trên máy trạm. Người dùng không cài phần mềm từ nguồn không chính thống.

Chiến dịch phát tán mã độc BankBot trên Android

• Mức độ: Nghiêm trọng.

• Phương thức: Tin tặc giả mạo ứng dụng của cơ quan nhà nước, ngân hàng, ví điện tử (MoMo, SCB Mobile Banking, MyVIB...) và dụ người dùng cài file “.apk” từ website giả.

• Tác hại: Sau khi được cấp quyền, mã độc có thể điều khiển hoàn toàn thiết bị, trích xuất danh bạ, SMS, đánh cắp mật khẩu, mã OTP, chuyển tiếp cuộc gọi, chiếm quyền quản trị để ngăn việc gỡ bỏ.

• Khuyến nghị: Chỉ cài ứng dụng từ Google Play, cảnh giác với tin nhắn và đường link lạ, không thực hiện giao dịch tài chính quan trọng trên thiết bị có dấu hiệu bất thường.

Lỗ hổng zero-day và phần mềm nén phổ biến

• Mức độ: Nghiêm trọng.

• Nguy cơ: Lỗ hổng zero-day trên Google Chrome (CVE-2025-13223) cho phép thực thi mã từ xa; lỗ hổng trên 7-Zip (CVE-2025-11001) đã có mã khai thác công khai, cho phép chiếm quyền máy tính khi giải nén tệp độc hại.

• Khuyến nghị: Cập nhật Chrome lên bản 142.0.7444.176 trở lên, 7-Zip lên bản 25.00 trở lên và WinRAR lên phiên bản mới nhất.

Tấn công quy mô lớn vào router ASUS

• Mức độ: Nghiêm trọng.

• Diễn biến: Một chiến dịch tấn công có chủ đích đang nhắm tới hơn 50.000 thiết bị định tuyến ASUS trên toàn cầu phục vụ hoạt động gián điệp.

• Khuyến nghị: Rà soát, cập nhật firmware, thay đổi mật khẩu quản trị mặc định, xem xét thay thế thiết bị có nguy cơ bị ảnh hưởng.

Cảnh báo từ hệ thống EDR: Nhiều mã độc lây lan qua USB, AutoCAD, Excel

Mã độc Worm.Win32.FakeDoc lây qua USB và tệp giả mạo

• Mức độ: Nghiêm trọng.

• Cơ chế: Lây lan tự động qua USB và các kênh như Zalo, email; tạo file .exe giả dạng tài liệu (Word, Excel, PDF...) và ẩn file thật. Khi mở file giả, mã độc kích hoạt, lây lan trong mạng nội bộ, tạo backdoor cho tin tặc và có thể dẫn tới tấn công mã hóa dữ liệu.

• Khuyến nghị:

  • Quản trị viên: Cách ly máy nghi nhiễm, dùng Group Policy vô hiệu hóa Auto Run với USB.

  • Người dùng: Quét virus mọi USB trước khi dùng, bật hiển thị file ẩn, cảnh giác với file có biểu tượng tài liệu nhưng đuôi “.exe” hoặc shortcut, luôn bật phần mềm diệt virus Smart IR.

Mã độc lây qua file AutoCAD (Virus.Acad.Bursted.a, Trojan.Acad.Agent.a)

• Mức độ: Nghiêm trọng.

• Tác hại: Khi mở bản vẽ, mã độc kích hoạt, có thể đánh cắp và phá hoại bản vẽ thiết kế, dữ liệu quy hoạch, hồ sơ dự án.

• Khuyến nghị:

  • Quản trị viên: Rà soát máy có cài AutoCAD, dùng phần mềm diệt virus làm sạch; kiểm tra và xóa các file độc hại như acad.lsp, acaddoc.lsp trong thư mục cài đặt và thư mục người dùng.

  • Người dùng: Không mở bản vẽ không rõ nguồn gốc, báo ngay cho bộ phận CNTT nếu AutoCAD có dấu hiệu bất thường, luôn bật Smart IR.

Mã độc macro-virus trên Excel (Virus.MSExcel.Laroux-based)

• Mức độ: Nghiêm trọng.

• Đặc điểm: Lây lan qua file Excel, phát tán mạnh qua Zalo; khi người dùng mở file và chọn “Enable Macros”, virus xâm nhập hệ thống, có khả năng đánh cắp thông tin nhạy cảm và tạo tiền đề cho tấn công mã hóa dữ liệu.

• Khuyến nghị:

  • Quản trị viên: Cấu hình Group Policy để vô hiệu hóa hoặc siết chặt việc thực thi macro trên bộ Office.

  • Người dùng: Không bấm “Enable Content” hoặc “Enable Macros” với file từ nguồn không tin cậy, luôn bật Smart IR.

Với mật độ cảnh báo dày đặc, Công an tỉnh Hà Tĩnh đề nghị các cơ quan, đơn vị và người dân chủ động rà soát hệ thống, cập nhật phần mềm, tăng cường sử dụng giải pháp bảo mật và tuân thủ nghiêm các khuyến nghị kỹ thuật, nhằm hạn chế tối đa nguy cơ bị tấn công, mã hóa dữ liệu và chiếm quyền điều khiển hệ thống.

Khôi Nguyên