6 xu hướng phần mềm độc hại đang nổi mà mọi chuyên gia an ninh mạng cần biết

14:30, 06/06/2025

Trong thế giới an ninh mạng đầy biến động, cuộc chơi giữa kẻ tấn công và người phòng thủ ngày càng trở nên căng thẳng và phức tạp hơn bao giờ hết.

Các kỹ thuật, công cụ và chiến lược mà tội phạm mạng sử dụng không ngừng được cải tiến, đặc biệt dưới sự phát triển của trí tuệ nhân tạo (AI) và sự thay đổi trong hạ tầng điện toán hiện đại.

Các kỹ thuật, công cụ và chiến lược mà tội phạm mạng sử dụng không ngừng thay đổi.

Dưới đây là 6 xu hướng phần mềm độc hại (malware) mà các chuyên gia an ninh mạng (ANM) không thể bỏ qua nếu muốn bảo vệ tổ chức khỏi các mối đe dọa ngày càng tinh vi.

Infostealer biến việc truy cập ban đầu thành hàng hóa thương mại

Infostealers - mã độc đánh cắp thông tin - đang phát triển với tốc độ chóng mặt. Theo nhà cung cấp ANM Immersive, số lượng các cuộc tấn công sử dụng infostealer đã tăng 58% chỉ trong một năm. Các mã độc như Lumma Stealer, StealC và RisePro hiện chiếm tới 75% số thông tin xác thực bị đánh cắp.

Infostealer có khả năng thu thập dữ liệu trình duyệt, cookie, thông tin đăng nhập VPN, mã xác thực đa yếu tố (MFA), ví tiền mã hóa và nhiều thông tin nhạy cảm khác. Sau đó, tội phạm mạng bán những dữ liệu này trên các chợ đen, cung cấp cho những kẻ tấn công một “vé vào cửa” trực tiếp vào hệ thống doanh nghiệp (DN) mà không cần phát động bất cứ cuộc tấn công phức tạp nào.

Theo ông Ben McCarthy, kỹ sư trưởng về ANM tại Immersive, xu hướng này đã thương mại hóa giai đoạn truy cập ban đầu, cho phép ngay cả các mục tiêu có yếu tố nhà nước cũng có thể bị xâm nhập chỉ qua những giao dịch đơn giản trên dark web (web đen).

Các gói độc hại nhắm vào môi trường phát triển phần mềm

Một xu hướng đáng lo ngại khác là sự gia tăng các cuộc tấn công vào chuỗi cung ứng phần mềm thông qua các gói mã độc ẩn trong thư viện lập trình và công cụ phát triển.

Tội phạm mạng đang lợi dụng sự tin tưởng giữa nhà phát triển và kho mã nguồn như NPM, PyPI hoặc các nền tảng AI như HuggingFace để phát tán mã độc ngụy trang dưới dạng gói hợp pháp.

Trong năm 2024, các nhà nghiên cứu phát hiện tới 512.847 gói độc hại trên các hệ sinh thái phát triển phần mềm, tăng 156% so với năm trước.

Ông McCarthy nhấn mạnh rằng: “Những gói độc hại này thường bắt chước tên gọi và hành vi của các gói hợp pháp, khiến quy trình kiểm tra mã thông thường không phát hiện được mối đe dọa”.

Ransomware tinh vi hơn và nhắm mục tiêu cụ thể

Kể từ sau những chiến dịch trấn áp của cơ quan thực thi pháp luật đối với các nhóm tống tiền như LockBit, ransomware đã chuyển mình sang hướng hoạt động kín đáo và nhắm mục tiêu cao hơn.

Thay vì phát tán diện rộng như trước, các nhóm như RansomHub và Akira nay chọn cách xâm nhập sâu vào hệ thống, trích xuất dữ liệu, rồi mới tung đòn mã hóa hoặc tống tiền. Họ dành thời gian nghiên cứu kỹ lưỡng về mục tiêu và sử dụng các kỹ thuật như living-off-the-land (LOTL), tức lợi dụng các công cụ hệ thống hợp pháp để tránh bị phát hiện.

Ông Jamie Moles từ ExtraHop cho biết: “Ngày càng nhiều nhóm ransomware sử dụng dịch vụ đám mây và nền tảng quản lý từ xa làm công cụ trong chuỗi tấn công của họ, thay vì chỉ phụ thuộc vào mã độc truyền thống”.

Lĩnh vực chăm sóc sức khỏe vẫn là mục tiêu hàng đầu, trong khi các cơ sở hạ tầng thiết yếu ngày càng bị đe dọa bởi những chiến thuật khiến nạn nhân buộc phải trả tiền chuộc nhanh chóng do tính cấp bách của hệ thống.

Tấn công phi kỹ thuật thúc đẩy lây nhiễm mã độc

Kẻ tấn công ngày càng dựa vào tấn công phi kỹ thuật (social engineering) để đánh lừa người dùng tự mình kích hoạt mã độc. Một phương pháp phổ biến hiện nay là ClickFix – nơi người dùng bị dụ dỗ thực hiện các bước tưởng chừng vô hại (như dán lệnh PowerShell vào terminal) để "xác minh danh tính", trong khi thực chất đang tự cài đặt phần mềm độc hại.

Ông Jim Walter, nhà nghiên cứu cao cấp tại SentinelLABS, nhận định: “ClickFix lợi dụng sự quen thuộc của người dùng với các quy trình CAPTCHA, biến họ thành nạn nhân của chính mình. Đây là chiến thuật cực kỳ hiệu quả và ngày càng phổ biến”.

Bởi vì kỹ thuật này không khai thác lỗ hổng hệ thống mà dựa vào hành vi con người, nó có thể vượt qua hầu hết các biện pháp phát hiện truyền thống. Do đó, các chuyên gia ANM cần tăng cường giáo dục người dùng, củng cố chính sách thực thi mã trên thiết bị đầu cuối, và triển khai các công cụ phát hiện hành vi đáng ngờ.

Mã độc nhắm đến người dùng macOS trong DN

Trái với suy nghĩ thông thường rằng macOS an toàn hơn, các chiến dịch tấn công nhắm vào người dùng các thiết bị của Apple trong môi trường DN đang tăng mạnh.

Theo ông Phil Stokes, chuyên gia nghiên cứu mã độc macOS tại SentinelLABS, hiện có cả những infostealer giả dạng công cụ DN lẫn mã độc có cấu trúc mô-đun tinh vi đang được sử dụng để nhắm đến người dùng macOS.

Một ví dụ điển hình là Atomic Infostealer, được phát tán thông qua các phiên bản giả mạo của ứng dụng DN nổi tiếng – chứ không còn giới hạn trong các phần mềm lậu hay công cụ tiện ích.

Xu hướng này cho thấy tội phạm mạng đang nỗ lực mở rộng phạm vi tấn công đến cả những nền tảng từng ít bị ảnh hưởng, đồng thời thể hiện sự thích ứng nhanh chóng với môi trường DN hiện đại.

Malware biến đổi mã để tránh bị phát hiện

Một trong những thách thức lớn nhất hiện nay là malware đa hình (polymorphic malware). Đây là loại phần mềm độc hại có khả năng tự thay đổi mã mỗi khi nó lây lan hoặc khởi chạy.

Việc liên tục thay đổi mã khiến các hệ thống phát hiện dựa trên chữ ký (signature-based detection) như antivirus truyền thống trở nên vô dụng. Ngoài ra, việc sử dụng mã hóa để che giấu payload (phần dữ liệu thực sự được truyền đi của một gói tin giữa hai phía, mà không chứa dữ liệu giao thức hay siêu dữ liệu) càng làm khó khăn cho các nhà phân tích bảo mật.

Theo ông Alex Hinchliffe từ Unit 42 (của Palo Alto Networks), ngay cả một thay đổi nhỏ trong quy trình biên dịch cũng có thể tạo ra một mã băm (hash) hoàn toàn mới, giúp mã độc qua mặt các công cụ quét virus cơ bản.

Các công cụ như compressor (trình nén dữ liệu), packer (công cụ mã nguồn mở do HashiCorp phát triển), và protector (thiết bị bảo vệ), dù miễn phí hay thương mại, càng làm tăng số biến thể của một phần mềm độc hại, biến việc phát hiện thủ công thành cuộc chiến gần như bất khả thi nếu thiếu công cụ phân tích nâng cao.

Các kỹ thuật lỗi thời đang dần biến mất

Bên cạnh các xu hướng đang nổi, cũng có những kỹ thuật cũ đang mất dần hiệu quả do hệ thống bảo mật ngày càng hiện đại.

Theo bà Lindsey Welch từ Huntress, các công cụ như Cobalt Strike và Sliver – từng phổ biến trong giới hacker – đang dần bị thay thế bởi công cụ chuyên dụng hơn như Mimikatz hoặc CrackMapExec, vốn nhỏ gọn và ít bị phát hiện hơn.

Một số kỹ thuật lỗi thời bao gồm:

- Worm lây lan qua mạng (như Conficker): hiện khó phát huy hiệu quả do mạng DN đã có phân đoạn rõ ràng và hệ thống vá lỗi tự động.
- Botnet truyền thống.
- Exploit kit khai thác lỗ hổng trên web: giảm mạnh khi các nền tảng như Flash, Java hay IE bị thay thế hoặc vá lỗi.
- Macro Office độc hại: giờ đây thường bị chặn bởi mặc định trong Microsoft 365.
- Mã độc qua USB: không còn phổ biến khi các cổng vật lý ngày càng bị quản lý chặt chẽ trong DN.

Trong khi các chiến thuật cũ dần mờ nhạt thì các phần mềm độc hại mới lại đang bùng nổ mạnh mẽ với mức độ tinh vi và nhắm mục tiêu cao hơn bao giờ hết. Từ việc lợi dụng niềm tin vào các kho mã nguồn, đến việc khai thác hành vi con người và tấn công các nền tảng từng ít bị chú ý, kẻ xấu đang cho thấy sự thích nghi cực kỳ linh hoạt.

Đối với các chuyên gia ANM, hiểu và theo sát những xu hướng này là điều bắt buộc. Việc trang bị kiến thức, nâng cao cảnh giác, cập nhật công cụ giám sát và đầu tư vào phân tích hành vi sẽ là những yếu tố then chốt để bảo vệ tổ chức khỏi những mối đe dọa đang tiến hóa từng ngày./.

Tài liệu tham khảo:

1.https://www.csoonline.com/article/3951147/infostealer-malware-poses-potent-threat-despite-recent-takedowns.html

2. https://www.picussecurity.com/resource/blog/atomic-stealer-amos-macos-threat-analysis

3. https://www.crowdstrike.com/en-us/cybersecurity-101/cyberattacks/living-off-the-land-attack/
Từ khóa: an ninh mạngphần mềm độc hạichuyên gia an ninh

Bài khác

Cảnh báo lừa đảo trực tuyến nhằm vào người dùng TikTok Cảnh báo lừa đảo trực tuyến nhằm vào người dùng TikTok
02:23 pm, 07/06/2025
Người dùng cần cảnh giác với lỗ hổng nghiêm trọng trong trình duyệt Safari Người dùng cần cảnh giác với lỗ hổng nghiêm trọng trong trình duyệt Safari
02:20 pm, 07/06/2025
Đội thi Việt Nam vào Top 3 Giải vô địch an ninh mạng thế giới 2025 Đội thi Việt Nam vào Top 3 Giải vô địch an ninh mạng thế giới 2025
05:13 am, 07/06/2025
6 xu hướng phần mềm độc hại đang nổi mà mọi chuyên gia an ninh mạng cần biết 6 xu hướng phần mềm độc hại đang nổi mà mọi chuyên gia an ninh mạng cần biết
02:30 pm, 06/06/2025
Lừa đảo tinh vi qua website giả Booking.com Lừa đảo tinh vi qua website giả Booking.com
03:00 pm, 05/06/2025
Cảnh giác với các cuộc gọi thông báo tặng quà tri ân miễn phí Cảnh giác với các cuộc gọi thông báo tặng quà tri ân miễn phí
08:37 am, 05/06/2025
Tội phạm mạng tại Việt Nam ngày càng nguy hiểm nhờ AI: Doanh nghiệp đang đối mặt với thách thức chưa từng có Tội phạm mạng tại Việt Nam ngày càng nguy hiểm nhờ AI: Doanh nghiệp đang đối mặt với thách thức chưa từng có
08:36 am, 04/06/2025
Tích hợp giải pháp an ninh mạng cho phương tiện di chuyển thông minh‏ Tích hợp giải pháp an ninh mạng cho phương tiện di chuyển thông minh‏
12:55 pm, 03/06/2025
Cuộc chiến giữa bảo mật và dữ liệu trong thời đại công nghiệp số Cuộc chiến giữa bảo mật và dữ liệu trong thời đại công nghiệp số
02:40 pm, 01/06/2025
Giải pháp 'vá' lỗ hổng bảo mật Giải pháp 'vá' lỗ hổng bảo mật
10:41 am, 01/06/2025

Bài mới nhất

Công ty robot Estonia kỳ vọng Việt Nam sẽ có 'bước nhảy của hổ' Công ty robot Estonia kỳ vọng Việt Nam sẽ có 'bước nhảy của hổ'
Chuyển đổi xanh ở Việt Nam: Động lực phát triển bền vững trong kỷ nguyên mới Chuyển đổi xanh ở Việt Nam: Động lực phát triển bền vững trong kỷ nguyên mới
FPT Camera AI - “trợ lý công nghệ” giúp xã hội an toàn, hiệu quả FPT Camera AI - “trợ lý công nghệ” giúp xã hội an toàn, hiệu quả
Viettel Post ra mắt giải pháp logistics toàn trình, giảm chi phí và tối ưu hiệu suất Viettel Post ra mắt giải pháp logistics toàn trình, giảm chi phí và tối ưu hiệu suất
Cảnh báo lừa đảo trực tuyến nhằm vào người dùng TikTok Cảnh báo lừa đảo trực tuyến nhằm vào người dùng TikTok
Người dùng cần cảnh giác với lỗ hổng nghiêm trọng trong trình duyệt Safari Người dùng cần cảnh giác với lỗ hổng nghiêm trọng trong trình duyệt Safari
Khách hàng thích thú với trải nghiệm “Lái vui – Sống chất” cùng VinFast VF 6 Khách hàng thích thú với trải nghiệm “Lái vui – Sống chất” cùng VinFast VF 6
Tổng duyệt đêm DIFF 2025 thứ 2: Hội đồng chuyên môn nhận định ấn tượng và đầy bất ngờ Tổng duyệt đêm DIFF 2025 thứ 2: Hội đồng chuyên môn nhận định ấn tượng và đầy bất ngờ
Đà Nẵng hướng đến trở thành trung tâm Web3 khu vực Đà Nẵng hướng đến trở thành trung tâm Web3 khu vực
AEON Financial hủy hợp đồng mua công ty tài chính từ SeABank, đòi trả 4.300 tỉ đồng AEON Financial hủy hợp đồng mua công ty tài chính từ SeABank, đòi trả 4.300 tỉ đồng
Công ty khởi nghiệp gọi xe, giao hàng Estonia muốn sớm vào Việt Nam Công ty khởi nghiệp gọi xe, giao hàng Estonia muốn sớm vào Việt Nam
Đội thi Việt Nam vào Top 3 Giải vô địch an ninh mạng thế giới 2025 Đội thi Việt Nam vào Top 3 Giải vô địch an ninh mạng thế giới 2025
ZEISS kết nối nhà đầu tư công nghệ cao, giải bài toán quản lý chất lượng sản xuất ZEISS kết nối nhà đầu tư công nghệ cao, giải bài toán quản lý chất lượng sản xuất
Thủ tướng làm việc với Công ty ‘kiến trúc sư chính’ của chính phủ điện tử Estonia Thủ tướng làm việc với Công ty ‘kiến trúc sư chính’ của chính phủ điện tử Estonia
Lượng khí thải gián tiếp của các gã khổng lồ công nghệ tăng 150% do đẩy mạnh phát triển AI và các trung tâm dữ liệu Lượng khí thải gián tiếp của các gã khổng lồ công nghệ tăng 150% do đẩy mạnh phát triển AI và các trung tâm dữ liệu