Ối giời ơi, các bạn HR và IT đọc ngay bài này để khỏi bị "dính bẫy" nha! Vừa mới có một chiến dịch tấn công mạng siêu tinh vi nhắm thẳng vào các doanh nghiệp Việt Nam đây. Theo các chuyên gia từ SEQRITE Labs phát hiện, lũ hacker này xài chiêu cực hack não: giả làm ứng viên gửi CV xin việc, nhưng thực chất là để cài phần mềm gián điệp vào máy tính của nạn nhân luôn!
Chiến dịch mang tên Hanoi Thief này được bắt gặp từ ngày 3 tháng 11 năm 2025, và chúng đang "focus" tấn công vào các phòng IT và bộ phận tuyển dụng nhân sự tại Việt Nam thông qua email lừa đảo có chủ đích cực kỳ.
Mã độc này hoạt động kiểu gì mà ghê thế?
Điểm "đỉnh cao trí tuệ tội phạm" của chiến dịch này nằm ở chỗ: chúng xài một kỹ thuật cực độc trong đó một file có thể "cosplay" thành nhiều loại file khác nhau cùng lúc luôn ấy! Cụ thể, hacker sẽ gửi cho nạn nhân một file nén tên Le-Xuan-Son_CV.zip, bên trong chứa hồ sơ xin việc giả mạo của một anh chàng tên Lê Xuân Sơn. File này vừa hiển thị được nội dung CV bình thường khi mở, vừa chứa mã độc ẩn bên trong sẵn sàng "phát động" khi nạn nhân thao tác.
Hồ sơ xin việc fake này được làm công phu vô cùng để tạo lòng tin cho nạn nhân luôn á. CV giả mạo thể hiện ứng viên là một lập trình viên đang tìm việc tại Hà Nội, trông rất "legit".
Để tăng độ tin cậy, bọn tội phạm còn đính kèm đường link đến một tài khoản GitHub được tạo từ năm 2021 nữa kìa! Tuy nhiên khi các nhà nghiên cứu check thì phát hiện tài khoản này hoàn toàn không có hoạt động hay cập nhật gì, chứng tỏ nó được setup riêng để lừa đảo thôi. Thậm chí cả số điện thoại liên lạc trong CV cũng là số fake luôn, chứ không phải của ứng viên thực sự đâu!
Chuỗi tấn công được thiết kế theo ba giai đoạn siêu chặt chẽ để tránh bị phát hiện nhé. Giai đoạn đầu tiên bắt đầu khi nạn nhân mở file CV, nó sẽ hiển thị bản CV giả trên màn hình để "đánh lừa tầm mắt" trong khi ở hậu trường, mã độc ẩn đang được kích hoạt rồi đấy.
Đặc biệt, lũ hacker này còn biết "tận dụng tài nguyên sẵn có" bằng cách lạm dụng các công cụ có sẵn trong Windows thay vì sử dụng file thực thi độc hại riêng, giúp tránh bị các phần mềm diệt virus phát hiện. Ở giai đoạn thứ hai, mã độc thực hiện chuẩn bị để cài đặt phần mềm gián điệp chính bằng cách trích xuất dữ liệu mã hóa ẩn bên trong file CV và tạo ra các file cần thiết trong hệ thống.
Giai đoạn thứ ba là lúc phần mềm độc hại chính có tên LOTUSHARVEST được "thức tỉnh" đây rồi! Phần mềm này được ngụy trang dưới dạng một thư viện hệ thống hợp pháp của Windows, khiến hệ điều hành tự động tải và chạy nó mà không hề hay biết gì cả. LOTUSHARVEST là một phần mềm gián điệp có nhiệm vụ chính là đánh cắp thông tin nhạy cảm từ trình duyệt web của nạn nhân, đặc biệt nhắm vào Google Chrome và Microsoft Edge.
Target của mã độc này là ai?
Phần mềm độc hại này thu thập 20 địa chỉ website được truy cập gần đây nhất từ lịch sử duyệt web, bao gồm cả tiêu đề trang và thời gian truy cập. Quan trọng hơn, nó còn "cuỗm" luôn các thông tin đăng nhập và mật khẩu đã lưu trữ trong trình duyệt, bao gồm cả tài khoản email, mạng xã hội và các dịch vụ trực tuyến khác mà nạn nhân thường sử dụng nữa!
Trước khi thực hiện các chức năng chính, phần mềm còn "quan sát địa hình" xem có đang bị theo dõi hay phân tích bởi các công cụ bảo mật không, và sẽ tự động ngừng hoạt động nếu phát hiện môi trường bất thường.
Sau khi thu thập được thông tin, LOTUSHARVEST đóng gói toàn bộ dữ liệu kèm theo tên máy tính và tên người dùng của nạn nhân để tạo ra một mục nhận dạng duy nhất. Phần mềm sau đó thiết lập kết nối mã hóa đến máy chủ của kẻ tấn công và gửi toàn bộ dữ liệu đã đánh cắp về. Các nhà nghiên cứu phát hiện lũ hacker này sử dụng các máy chủ có tên miền được tạo ngẫu nhiên để tránh bị theo dõi và phát hiện.
Mục tiêu chính của chiến dịch Hanoi Thief là các phòng ban công nghệ thông tin và đội ngũ tuyển dụng nhân sự tại các doanh nghiệp Việt Nam, đặc biệt tập trung vào khu vực Hà Nội.
Việc nhắm vào chuyên gia IT đặc biệt nguy hiểm vì những người này thường có quyền truy cập rộng rãi vào các hệ thống quan trọng của công ty, bao gồm cơ sở dữ liệu khách hàng, tài chính và thông tin nội bộ. Trong khi đó, việc tấn công vào bộ phận HR có thể giúp kẻ tấn công lan rộng qua mạng nội bộ thông qua các email tuyển dụng hợp pháp, khiến nhân viên khác dễ dàng tin tưởng và mở file độc hại.
Tips bảo vệ bản thân và công ty nào! ️
Để tránh bị "dính đòn" từ loại tấn công này, các doanh nghiệp cần nâng cao cảnh giác với các email chứa file đính kèm từ người lạ, đặc biệt là các hồ sơ xin việc không được yêu cầu nhé. Ngoài ra, đừng có lưu mật khẩu trực tiếp trong trình duyệt mà hãy sử dụng các công cụ quản lý mật khẩu chuyên dụng để giảm thiểu rủi ro khi bị tấn công. Các giải pháp bảo mật hiện đại đã có khả năng phát hiện và ngăn chặn chiến dịch này rồi, tuy nhiên yếu tố con người vẫn là "lỗ hổng" lớn nhất trong chuỗi phòng thủ an ninh mạng đấy!
Nguồn: genk.vn