Duy Linh
Writer
Một nhóm tội phạm mạng đang sử dụng mã độc do trí tuệ nhân tạo (AI) hỗ trợ viết để triển khai các chiến dịch lừa đảo qua email, phát tán PureRAT cùng nhiều payload liên quan. Nhóm này lợi dụng các lời mời việc làm giả mạo nhằm xâm nhập hệ thống doanh nghiệp, đặc biệt nhắm vào nhân sự đang tìm việc trong lĩnh vực tiếp thị, quản lý dự án và chiến lược.
Tội phạm mạng lợi dụng các tin tuyển dụng độc hại do trí tuệ nhân tạo tạo ra để phát tán phần mềm độc hại PureRAT.
Chiến dịch lần đầu được Trend Micro ghi nhận vào tháng 12/2025, khi các email lừa đảo đính kèm tệp ZIP hoặc RAR độc hại được ngụy trang dưới dạng tài liệu tuyển dụng. Tuy nhiên, theo quan sát mới hơn từ Symantec, nhóm này đã thay đổi chiến thuật. Thay vì gửi trực tiếp tệp đính kèm, email hiện hướng người nhận tải các tệp lưu trữ được lưu trữ trên Dropbox, nhiều khả năng nhằm né tránh các bộ lọc bảo mật email vốn kiểm tra chặt chẽ tệp thực thi từ nguồn không xác định.
Hoạt động này cho thấy AI đang hạ thấp rào cản kỹ thuật đối với tội phạm mạng có trình độ thấp, cho phép chúng nhanh chóng xây dựng và tự động hóa các chuỗi tấn công với hình thức ngày càng chuyên nghiệp.
Các email lừa đảo thường giả mạo lời mời làm việc tại các thương hiệu lớn, sử dụng tên tệp được thiết kế riêng theo chức năng doanh nghiệp. Một số ví dụ tệp độc hại đã được ghi nhận gồm:
Phân tích các tập lệnh này cho thấy dấu ấn rõ ràng của AI. Một tập lệnh được chú thích chi tiết bằng tiếng Việt, tạo thư mục ẩn %LOCALAPPDATA%\Google Chrome, đổi tên các tệp vô hại thành document.pdf và document.docx, sau đó sử dụng một tệp nhị phân 7zip/WinRAR được đóng gói sẵn để giải nén nội dung được mã hóa bằng mật khẩu từ tệp huna.zip hoặc huna.exe (mật khẩu như huna@dev.vn).
Tiếp theo, tập lệnh thực thi một trình thông dịch Python được đổi tên thành zvchost.exe, chạy lệnh nội tuyến để tải payload mã hóa Base64 từ máy chủ điều khiển (C2), giải mã và thực thi. Cơ chế duy trì tồn tại được thiết lập thông qua khóa registry Run hoặc tác vụ theo lịch (ví dụ 123456.exe), ngụy trang dưới tên ChromeUpdate, trước khi mở lại một tệp PDF hợp pháp để đánh lạc hướng người dùng.
Một biến thể tập lệnh khác được “tối giản hóa” còn thể hiện rõ hơn phong cách do AI tạo ra, với cấu trúc dạng bậc thang, ký hiệu giống biểu tượng cảm xúc trong phần chú thích và khả năng xử lý lỗi gọn gàng.
Các bí danh, mật khẩu và tên tệp được sử dụng nhất quán trong suốt chiến dịch cho thấy đây là một nhóm tội phạm mạng có tổ chức, hoạt động với mục tiêu thu lợi tài chính. Cách thức nhắm mục tiêu và bộ công cụ được sử dụng không cho thấy dấu hiệu của hoạt động gián điệp, mà tập trung vào việc giành quyền truy cập ban đầu vào mạng doanh nghiệp.
Bằng cách dụ dỗ người tìm việc mở các tài liệu độc hại trên thiết bị làm việc, nhóm tấn công có thể triển khai PureRAT và HVNC để giành quyền điều khiển từ xa, thu thập thông tin đăng nhập, di chuyển ngang trong hệ thống và cuối cùng bán quyền truy cập cho các tác nhân đe dọa khác trên các chợ đen.
Chiến dịch này làm nổi bật rủi ro ngày càng gia tăng của tội phạm mạng được AI hỗ trợ. AI không chỉ giúp các chiến dịch lừa đảo trở nên tinh vi hơn mà còn cho phép những kẻ có kỹ năng tương đối thấp tạo ra mã độc phức tạp, tự động hóa các chuỗi lây nhiễm và nhanh chóng cải tiến công cụ.
Các tổ chức nên coi lời mời làm việc không được yêu cầu trước, đặc biệt là những email yêu cầu tải tệp từ nền tảng lưu trữ bên ngoài và chứa “tài liệu” có thể thực thi, là rủi ro cao, đồng thời đảm bảo các biện pháp kiểm soát ở cấp email, thiết bị đầu cuối và đám mây được điều chỉnh để phát hiện và ngăn chặn hành vi này.
(gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/purerat-malware/
Tội phạm mạng lợi dụng các tin tuyển dụng độc hại do trí tuệ nhân tạo tạo ra để phát tán phần mềm độc hại PureRAT.
Chiến dịch lần đầu được Trend Micro ghi nhận vào tháng 12/2025, khi các email lừa đảo đính kèm tệp ZIP hoặc RAR độc hại được ngụy trang dưới dạng tài liệu tuyển dụng. Tuy nhiên, theo quan sát mới hơn từ Symantec, nhóm này đã thay đổi chiến thuật. Thay vì gửi trực tiếp tệp đính kèm, email hiện hướng người nhận tải các tệp lưu trữ được lưu trữ trên Dropbox, nhiều khả năng nhằm né tránh các bộ lọc bảo mật email vốn kiểm tra chặt chẽ tệp thực thi từ nguồn không xác định.
Hoạt động này cho thấy AI đang hạ thấp rào cản kỹ thuật đối với tội phạm mạng có trình độ thấp, cho phép chúng nhanh chóng xây dựng và tự động hóa các chuỗi tấn công với hình thức ngày càng chuyên nghiệp.
Các email lừa đảo thường giả mạo lời mời làm việc tại các thương hiệu lớn, sử dụng tên tệp được thiết kế riêng theo chức năng doanh nghiệp. Một số ví dụ tệp độc hại đã được ghi nhận gồm:
- New_Remote_Marketing_Opportunity_OPPO_Find_X9_Series.zip
- Global_Ads_Strategy_Role_Summary.zip
- OPPO_FindX9_New_Product_Promotion_Plan.zip
- Advertising_and_Marketing_Henkel-AG_Smartwash.zip
- SAMSUNG_OLED_G5_Marketing_Dossier.zip
- Duolingo_Marketing_Skills_Assessment_oct.zip / .rar
AI đang thay đổi cách triển khai mã độc
Các tệp thực thi thường được đổi tên để trông giống tài liệu nhân sự, chẳng hạn như Salary and Benefits Package.exe, 2.Salary-benefits-bonus-KPIs(Job responsibilities).exe hoặc Duolingo_Marketing_Skills_Assessment_oct.exe. Các DLL liên quan như oledlg.dll, msimg32.dll, version.dll và profapi.dll đóng vai trò trình tải cho các tập lệnh hàng loạt độc hại.Phân tích các tập lệnh này cho thấy dấu ấn rõ ràng của AI. Một tập lệnh được chú thích chi tiết bằng tiếng Việt, tạo thư mục ẩn %LOCALAPPDATA%\Google Chrome, đổi tên các tệp vô hại thành document.pdf và document.docx, sau đó sử dụng một tệp nhị phân 7zip/WinRAR được đóng gói sẵn để giải nén nội dung được mã hóa bằng mật khẩu từ tệp huna.zip hoặc huna.exe (mật khẩu như huna@dev.vn).
Tiếp theo, tập lệnh thực thi một trình thông dịch Python được đổi tên thành zvchost.exe, chạy lệnh nội tuyến để tải payload mã hóa Base64 từ máy chủ điều khiển (C2), giải mã và thực thi. Cơ chế duy trì tồn tại được thiết lập thông qua khóa registry Run hoặc tác vụ theo lịch (ví dụ 123456.exe), ngụy trang dưới tên ChromeUpdate, trước khi mở lại một tệp PDF hợp pháp để đánh lạc hướng người dùng.
Một biến thể tập lệnh khác được “tối giản hóa” còn thể hiện rõ hơn phong cách do AI tạo ra, với cấu trúc dạng bậc thang, ký hiệu giống biểu tượng cảm xúc trong phần chú thích và khả năng xử lý lỗi gọn gàng.
Chiến dịch nhắm vào doanh nghiệp với động cơ tài chính
Các trình tải Python được sử dụng để triển khai payload HVNC cũng cho thấy mức độ tự động hóa cao, với các phần được đánh số rõ ràng, đầu ra gỡ lỗi chi tiết bằng nhiều ngôn ngữ và các hướng dẫn trực tiếp cho kẻ vận hành, chẳng hạn như yêu cầu chèn mã shellcode HVNC được mã hóa Base64.Các bí danh, mật khẩu và tên tệp được sử dụng nhất quán trong suốt chiến dịch cho thấy đây là một nhóm tội phạm mạng có tổ chức, hoạt động với mục tiêu thu lợi tài chính. Cách thức nhắm mục tiêu và bộ công cụ được sử dụng không cho thấy dấu hiệu của hoạt động gián điệp, mà tập trung vào việc giành quyền truy cập ban đầu vào mạng doanh nghiệp.
Bằng cách dụ dỗ người tìm việc mở các tài liệu độc hại trên thiết bị làm việc, nhóm tấn công có thể triển khai PureRAT và HVNC để giành quyền điều khiển từ xa, thu thập thông tin đăng nhập, di chuyển ngang trong hệ thống và cuối cùng bán quyền truy cập cho các tác nhân đe dọa khác trên các chợ đen.
Chiến dịch này làm nổi bật rủi ro ngày càng gia tăng của tội phạm mạng được AI hỗ trợ. AI không chỉ giúp các chiến dịch lừa đảo trở nên tinh vi hơn mà còn cho phép những kẻ có kỹ năng tương đối thấp tạo ra mã độc phức tạp, tự động hóa các chuỗi lây nhiễm và nhanh chóng cải tiến công cụ.
Các tổ chức nên coi lời mời làm việc không được yêu cầu trước, đặc biệt là những email yêu cầu tải tệp từ nền tảng lưu trữ bên ngoài và chứa “tài liệu” có thể thực thi, là rủi ro cao, đồng thời đảm bảo các biện pháp kiểm soát ở cấp email, thiết bị đầu cuối và đám mây được điều chỉnh để phát hiện và ngăn chặn hành vi này.
(gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/purerat-malware/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
