Phát hiện chiến dịch phát tán mã độc quy mô lớn thông qua WhatsApp
Chiến dịch phát tán phần mềm độc hại (crimeware) nhắm mục tiêu vào người dùng WhatsApp Desktop và WhatsApp Web, sử dụng các tệp VBScript chứa mã độc được gửi qua tin nhắn trực tiếp trên các nền tảng này.
Nạn nhân của chiến dịch tấn công này được ghi nhận tại nhiều quốc gia và vùng lãnh thổ, bao gồm Malaysia, Brazil, Singapore, Đài Loan và Việt Nam, trong đó Malaysia ghi nhận số lượng nạn nhân cao nhất. Việc sử dụng tên tệp bằng nhiều ngôn ngữ khác nhau cũng cho thấy chiến dịch được triển khai trên phạm vi rộng, đặc biệt tại các nước trong khu vực châu Âu.
Chiến dịch này được Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky phát hiện vào tháng 6/2026. Theo kết quả nghiên cứu, các đối tượng đứng sau chiến dịch đã lợi dụng những tài khoản WhatsApp bị xâm nhập từ trước để phát tán các tệp đính kèm có chứa mã độc.
Kẻ xấu đã gửi tin nhắn từ những liên lạc nằm trong danh bạ hiện có của các tài khoản này, khiến người nhận dễ dàng tin tưởng và mở tệp. Sau khi mã độc được kích hoạt, kẻ tấn công có thể truy cập từ xa vào hệ thống thông qua các tính năng quản trị được thiết kế sẵn cho mục đích hỗ trợ và quản lý công nghệ hợp pháp.
Kẻ xấu đã sử dụng thủ đoạn lừa đảo bằng kỹ nghệ xã hội (social engineering) bằng cách ngụy trang các tệp độc hại dưới dạng những tài liệu công việc quen thuộc như hóa đơn thanh toán, sao kê ngân hàng, sao kê tài khoản, chứng từ thanh toán hoặc thông báo công nợ nhằm tạo cảm giác đáng tin cậy và đánh lừa nạn nhân.
Tên tệp cũng được bản địa hóa sang nhiều ngôn ngữ như tiếng Anh, tiếng Bồ Đào Nha, tiếng Pháp, tiếng Đức và tiếng Mã Lai, cho thấy chiến dịch được triển khai tại nhiều khu vực ngôn ngữ khác nhau.
Ngoài ra, các mẫu tệp VBScript còn chứa lượng lớn chú thích và siêu dữ liệu nhằm giả mạo các thành phần hợp pháp của Microsoft Windows Update.
Quá trình thực thi của tệp đính kèm diễn ra theo nhiều giai đoạn trên thiết bị bị ảnh hưởng. Sau khi người dùng mở tệp, một chuỗi lệnh được lập trình sẵn sẽ được kích hoạt.
Ban đầu, tập lệnh tạo một thư mục làm việc tại đường dẫn **C:\Users\Public\Documents**, sau đó tải về các tập lệnh bổ sung từ hạ tầng bên ngoài và thực thi chúng thông qua Windows Script Host.
Các tập lệnh tiếp theo sẽ thực hiện nhiều hành động khác trên hệ thống, đồng thời tải xuống một tệp nén từ cùng nguồn. Bên trong tệp nén này là gói cài đặt của phần mềm giám sát và quản lý từ xa (Remote Monitoring and Management - RMM).
Ông Fareed Radzi, nhà nghiên cứu bảo mật thuộc Kaspersky GReAT, cho biết: “Trong chiến dịch này, kẻ tấn công khai thác yếu tố niềm tin trên các nền tảng nhắn tin bằng cách sử dụng những tài khoản WhatsApp đã bị chiếm quyền để gửi tệp đính kèm có mã độc. Vì các tệp này được gửi đi từ những liên lạc quen thuộc, người nhận dễ có xu hướng mở chúng hơn”.
Theo ông Fareed Radzi, “Tên tệp được ngụy trang cẩn thận dưới dạng các tài liệu công việc thông thường như hóa đơn hoặc thông báo thanh toán, đồng thời được bản địa hóa sang nhiều ngôn ngữ để mở rộng phạm vi mục tiêu. Khi được mở, các tệp này sẽ kích hoạt một chuỗi lây nhiễm nhiều giai đoạn, âm thầm tải xuống và thực thi thêm các thành phần độc hại từ hạ tầng do kẻ tấn công kiểm soát”./.