CyberThao
Writer
Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một chiến dịch phần mềm độc hại mới có tên EvilAI, khi kẻ tấn công sử dụng các ứng dụng giả mạo công cụ AI hoặc công cụ năng suất để phát tán mã độc trên toàn thế giới.
Theo báo cáo từ Trend Micro, chiến dịch này đã tấn công vào nhiều khu vực bao gồm châu Âu, châu Mỹ và khu vực AMEA (châu Á, Trung Đông và châu Phi). Các lĩnh vực bị ảnh hưởng nhiều nhất là sản xuất, chính phủ, y tế, công nghệ và bán lẻ. Những quốc gia như Ấn Độ, Mỹ, Pháp, Ý, Brazil, Đức, Anh, Na Uy, Tây Ban Nha và Canada ghi nhận số ca nhiễm cao, cho thấy sự lây lan trên diện rộng.
Nhóm nghiên cứu của Trend Micro, gồm nhiều chuyên gia như Jeffrey Francis Bonaobra, Joshua Aquino, Emmanuel Panopio… cho biết EvilAI không phải là sự cố đơn lẻ mà là một chiến dịch đang phát triển và hoạt động tích cực.
Điểm nguy hiểm nằm ở khả năng làm mờ ranh giới giữa phần mềm hợp pháp và phần mềm lừa đảo. Kẻ tấn công tạo ra ứng dụng trông chuyên nghiệp, có chữ ký số hợp lệ, khiến người dùng và thậm chí các công cụ bảo mật khó phân biệt. Sau khi được cài đặt, các chương trình này thực hiện hàng loạt hoạt động bất chính như trinh sát hệ thống, đánh cắp dữ liệu trình duyệt, thiết lập liên lạc với máy chủ chỉ huy và kiểm soát (C2) qua kênh AES mã hóa để nhận lệnh từ xa và triển khai thêm mã độc.
Một số ứng dụng bị phát hiện trong chiến dịch gồm: AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister và Tampered Chef. Các công ty an ninh như Expel, G DATA và TRUESEC cũng đã ghi nhận những hoạt động tương tự trước đó.
Chiến dịch còn tận dụng nhiều phương thức phát tán: trang web mới đăng ký mạo danh cổng thông tin nhà cung cấp, quảng cáo độc hại, thao túng SEO và liên kết tải xuống trên diễn đàn hoặc mạng xã hội.
Các chuyên gia từ G DATA chỉ ra rằng những công cụ như OneStart, ManualFinder và AppSuite được điều hành bởi cùng một nhóm, sử dụng chung cơ sở hạ tầng máy chủ. Nhà nghiên cứu Banu Ramakrishnan nhận định chúng thậm chí từng ngụy trang dưới dạng trò chơi, ứng dụng công thức in ấn, công cụ tìm hướng dẫn sử dụng và gần đây thêm từ khóa “AI” để thu hút người dùng.
Expel phát hiện nhóm đứng sau AppSuite và PDF Editor đã dùng ít nhất 26 chứng chỉ ký số từ các công ty ở Panama và Malaysia trong suốt bảy năm, khiến phần mềm của họ trở nên hợp pháp hơn trong mắt người dùng. Song song, TamperedChef lại sử dụng chứng chỉ từ Ukraine và Anh, cho thấy có sự khác biệt trong hành vi.
Ngoài ra, Field Effect và GuidePoint Security cũng phát hiện nhiều tệp giả dạng công cụ xem lịch, xem ảnh, lợi dụng nền tảng NeutralinoJS để thực thi mã JavaScript, truy cập hệ thống tệp, tạo tiến trình và thực hiện giao tiếp mạng ngầm. Kẻ tấn công còn dùng ký tự Unicode đặc biệt để mã hóa payload trong phản hồi API, né tránh được công cụ giám sát dựa trên chữ ký.
Báo cáo cho rằng sự xuất hiện của nhiều nhà xuất bản chứng chỉ trên các mẫu mã độc khác nhau cho thấy có thể tồn tại thị trường “dịch vụ chữ ký số” ngầm. Điều này giúp kẻ tấn công phân phối rộng rãi các ứng dụng giả mạo mà không bị phát hiện.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/evilai-malware-masquerades-as-ai-tools.html
Theo báo cáo từ Trend Micro, chiến dịch này đã tấn công vào nhiều khu vực bao gồm châu Âu, châu Mỹ và khu vực AMEA (châu Á, Trung Đông và châu Phi). Các lĩnh vực bị ảnh hưởng nhiều nhất là sản xuất, chính phủ, y tế, công nghệ và bán lẻ. Những quốc gia như Ấn Độ, Mỹ, Pháp, Ý, Brazil, Đức, Anh, Na Uy, Tây Ban Nha và Canada ghi nhận số ca nhiễm cao, cho thấy sự lây lan trên diện rộng.
EvilAI lan rộng với lớp vỏ “phần mềm hợp pháp”
Nhóm nghiên cứu của Trend Micro, gồm nhiều chuyên gia như Jeffrey Francis Bonaobra, Joshua Aquino, Emmanuel Panopio… cho biết EvilAI không phải là sự cố đơn lẻ mà là một chiến dịch đang phát triển và hoạt động tích cực.
Điểm nguy hiểm nằm ở khả năng làm mờ ranh giới giữa phần mềm hợp pháp và phần mềm lừa đảo. Kẻ tấn công tạo ra ứng dụng trông chuyên nghiệp, có chữ ký số hợp lệ, khiến người dùng và thậm chí các công cụ bảo mật khó phân biệt. Sau khi được cài đặt, các chương trình này thực hiện hàng loạt hoạt động bất chính như trinh sát hệ thống, đánh cắp dữ liệu trình duyệt, thiết lập liên lạc với máy chủ chỉ huy và kiểm soát (C2) qua kênh AES mã hóa để nhận lệnh từ xa và triển khai thêm mã độc.
Một số ứng dụng bị phát hiện trong chiến dịch gồm: AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister và Tampered Chef. Các công ty an ninh như Expel, G DATA và TRUESEC cũng đã ghi nhận những hoạt động tương tự trước đó.
Chiến dịch còn tận dụng nhiều phương thức phát tán: trang web mới đăng ký mạo danh cổng thông tin nhà cung cấp, quảng cáo độc hại, thao túng SEO và liên kết tải xuống trên diễn đàn hoặc mạng xã hội.
Nghiên cứu cho thấy sự tinh vi ngày càng cao
Các chuyên gia từ G DATA chỉ ra rằng những công cụ như OneStart, ManualFinder và AppSuite được điều hành bởi cùng một nhóm, sử dụng chung cơ sở hạ tầng máy chủ. Nhà nghiên cứu Banu Ramakrishnan nhận định chúng thậm chí từng ngụy trang dưới dạng trò chơi, ứng dụng công thức in ấn, công cụ tìm hướng dẫn sử dụng và gần đây thêm từ khóa “AI” để thu hút người dùng.
Expel phát hiện nhóm đứng sau AppSuite và PDF Editor đã dùng ít nhất 26 chứng chỉ ký số từ các công ty ở Panama và Malaysia trong suốt bảy năm, khiến phần mềm của họ trở nên hợp pháp hơn trong mắt người dùng. Song song, TamperedChef lại sử dụng chứng chỉ từ Ukraine và Anh, cho thấy có sự khác biệt trong hành vi.
Ngoài ra, Field Effect và GuidePoint Security cũng phát hiện nhiều tệp giả dạng công cụ xem lịch, xem ảnh, lợi dụng nền tảng NeutralinoJS để thực thi mã JavaScript, truy cập hệ thống tệp, tạo tiến trình và thực hiện giao tiếp mạng ngầm. Kẻ tấn công còn dùng ký tự Unicode đặc biệt để mã hóa payload trong phản hồi API, né tránh được công cụ giám sát dựa trên chữ ký.
Báo cáo cho rằng sự xuất hiện của nhiều nhà xuất bản chứng chỉ trên các mẫu mã độc khác nhau cho thấy có thể tồn tại thị trường “dịch vụ chữ ký số” ngầm. Điều này giúp kẻ tấn công phân phối rộng rãi các ứng dụng giả mạo mà không bị phát hiện.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/evilai-malware-masquerades-as-ai-tools.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview