Lỗ hổng Zero-Day 2025: Mối đe dọa nguy hiểm và bản vá khẩn cấp

Tình hình an ninh mạng toàn cầu vẫn diễn biến phức tạp vào cuối năm 2025, với hàng loạt sự kiện đáng chú ý, từ việc khai thác tích cực các lỗ hổng zero-day nhắm vào các hệ điều hành và trình duyệt phổ biến cho đến các chiến dịch tấn công chuỗi cung ứng tinh vi. Những phát triển này nhấn mạnh tầm quan trọng của việc cập nhật bản vá nhanh chóng, triển khai các lớp phòng thủ toàn diện và giám sát mối đe dọa liên tục trong mọi môi trường doanh nghiệp.

Trong khi đó, cộng đồng bảo mật tấn công đã chứng kiến bản phát hành Kali Linux 2025.4 với các công cụ mới và nâng cấp kernel, củng cố vị thế của nó trong kiểm thử xâm nhập và điều tra số. Về phía phòng thủ, MITRE đã công bố Danh sách 25 điểm yếu phần mềm nguy hiểm nhất năm 2025, tập trung vào các lỗi lập trình phổ biến mà kẻ tấn công thường lợi dụng. Điều này nhắc nhở rằng mã hóa an toàn vẫn là tuyến phòng thủ đầu tiên chống lại các kỹ thuật khai thác phức tạp.

Khai Thác Các Lỗ Hổng Zero-Day Nguy Hiểm

Nhiều nền tảng và ứng dụng chủ chốt đã bị nhắm mục tiêu bởi các lỗ hổng zero-day đang bị khai thác tích cực. Điều này đòi hỏi các tổ chức phải phản ứng nhanh chóng để bảo vệ hệ thống của mình.

Lỗ Hổng React Server Components Flight (React2Shell)

• Mô tả: Một lỗ hổng deserialization không an toàn nghiêm trọng trong giao thức React Server Components Flight, định danh là CVE-2025-55182.
• Khai thác: Đang bị khai thác tích cực trên các triển khai React và Next.js. Kẻ tấn công sử dụng các bộ công cụ botnet kiểu Mirai tự động, các cuộc thăm dò PowerShell “cheap math” để xác thực RCE và các stager download-and-execute được mã hóa để vượt qua AMSI bằng cách đặt AmsiUtils.amsiInitFailed thành true.
• Khuyến nghị: Nhanh chóng vá các stack React/Next.js bị ảnh hưởng, chặn các IP chiến dịch đã biết và giám sát việc thực thi PowerShell lặp lại cũng như các chỉ số vượt qua AMSI trên các endpoint Windows.

Lỗ Hổng Chromium (CVE-2025-14174)

• Mô tả: Lỗi truy cập bộ nhớ ngoài giới hạn (out-of-bounds memory access) trong lớp đồ họa ANGLE của Chromium, định danh CVE-2025-14174.
• Khai thác: Đã được CISA thêm vào danh mục Known Exploited Vulnerabilities (KEV) sau khi bị lạm dụng để thực thi mã từ xa thông qua nội dung HTML độc hại.
• Khuyến nghị: Nâng cấp Chrome lên phiên bản ít nhất 131.0.6778.201, Edge lên 131.0.3139.95 và đảm bảo cập nhật nhanh chóng trên tất cả các trình duyệt dựa trên Chromium trước thời hạn khắc phục của CISA vào đầu tháng Giêng.
• Tham khảo: Các tổ chức có thể theo dõi thông tin chi tiết trên trang Known Exploited Vulnerabilities của CISA.

Lỗ Hổng Apple iOS, iPadOS, macOS và Safari

• Mô tả: Apple đã phát hành các bản sửa lỗi khẩn cấp cho nhiều lỗ hổng zero-day trên iOS, iPadOS, macOS và Safari.
• Khai thác: Kẻ tấn công đã và đang lợi dụng các lỗ hổng này để thực thi mã và triển khai phần mềm gián điệp.
• Khuyến nghị: Các quản trị viên cần ưu tiên thực thi quản lý thiết bị di động để cập nhật lên các bản phát hành mới nhất, đặc biệt đối với người dùng có rủi ro cao và thiết bị BYOD.

Cập Nhật Bản Vá Microsoft Patch Tuesday Cuối Năm 2025

• Mô tả: Microsoft đã phát hành 56 bản vá lỗi cho Windows, Office, Exchange, các thành phần Azure và công cụ phát triển.
• Điểm nổi bật: Bao gồm ba lỗ hổng zero-day đang bị khai thác: hai RCE command-injection trong PowerShell và GitHub Copilot cho JetBrains, cùng một lỗ hổng leo thang đặc quyền (elevation-of-privilege) trong Windows Cloud Files Mini Filter Driver. Tổng cộng có 19 lỗ hổng RCE và 28 lỗ hổng EoP.
• Khuyến nghị: Ưu tiên vá các lỗ hổng zero-day và các lỗ hổng “có khả năng khai thác cao hơn”, đặc biệt là trên các dịch vụ hướng Internet và các endpoint có giá trị cao trước kỳ nghỉ lễ.

Các Mối Đe Dọa Chuỗi Cung Ứng và Mã Độc

Các chiến thuật tấn công chuỗi cung ứng và phát tán mã độc ngày càng trở nên phức tạp, nhắm vào các công cụ phát triển và người dùng cuối.

Tấn Công Chuỗi Cung Ứng Go Package (Typo-squatting)

• Mô tả: Một cuộc tấn công chuỗi cung ứng kéo dài đã lạm dụng các Go package typo-squatting github.com/bpoorman/uuid và github.com/bpoorman/uid. Các package này giả mạo thư viện UUID của Google và pborman.
• Khai thác: Ngầm exfiltrate dữ liệu nhạy cảm được truyền vào hàm trợ giúp Valid đã bị backdoor. Dữ liệu thu thập được mã hóa và tải lên dpaste.com bằng cách sử dụng API token được mã hóa cứng.
• Thời gian hoạt động: Các package độc hại này đã có mặt từ năm 2021.
• Khuyến nghị: Cần xác minh nghiêm ngặt các dependency trong các dự án Go và kiểm tra thường xuyên các import trong file go.mod.

Phần Mở Rộng Độc Hại Cho Visual Studio Code và AI IDEs

• Mô tả: Các nhà nghiên cứu đã chứng minh cách kẻ tấn công có thể dễ dàng phát hành các phần mở rộng độc hại cho Visual Studio Code và các AI IDE như Cursor, ví dụ điển hình là “Piithon-linter” (typo-squatted) đã vượt qua kiểm tra của marketplace.
• Khai thác: Sau khi cài đặt, các phần mở rộng này có thể tự động thực thi khi IDE khởi chạy, né tránh AV/EDR thông qua kiểm tra môi trường, exfiltrate các biến môi trường (secrets, tokens) và triển khai Merlin C2 agents trên Windows, macOS và Linux.

Ứng Dụng Độc Hại Trên Google Play: Anatsa Banking Trojan

• Mô tả: Một ứng dụng Android có tên “Document Reader – File Manager” trên Google Play, với hơn 50.000 lượt cài đặt, được phát hiện hoạt động như một dropper cho trojan ngân hàng Anatsa (TeaBot).
• Khai thác: Ứng dụng này lấy payload từ một máy chủ từ xa, sử dụng kỹ thuật né tránh trình giả lập và làm rối mã, lạm dụng quyền truy cập trợ năng và phủ lớp giao diện ngân hàng giả mạo để đánh cắp thông tin đăng nhập, thực hiện các giao dịch gian lận.

Backdoor Linux Mới: GhostPenguin

• Mô tả: Một backdoor Linux chưa từng được biết đến trước đây, có tên GhostPenguin, đã né tránh tất cả các công cụ của VirusTotal trong nhiều tháng.
• Tính năng: Cung cấp cho kẻ tấn công quyền truy cập shell từ xa và toàn bộ các hoạt động trên hệ thống file qua UDP được mã hóa. Mã độc sử dụng mã hóa RC5 với ID phiên động qua cổng UDP 53, sử dụng giao tiếp đa tầng, C2 dựa trên heartbeat và hỗ trợ khoảng 40 lệnh.

Tấn Công Ransomware Nhắm Vào Hyper-V và VMware ESXi

Số lượng các chiến dịch mã độc ransomware nhắm mục tiêu rõ ràng vào môi trường Microsoft Hyper-V và VMware ESXi đã tăng mạnh. Mục tiêu là tối đa hóa tác động bằng cách mã hóa các hình ảnh máy ảo trên quy mô lớn.

• Khai thác: Kẻ tấn công ngày càng lạm dụng các cấu hình sai (misconfigurations), quyền truy cập mạng phẳng, thông tin đăng nhập quản trị yếu và phân đoạn không đầy đủ xung quanh hypervisor để giành quyền kiểm soát các lớp ảo hóa và làm gián đoạn toàn bộ khối lượng công việc trong một chiến dịch duy nhất.

Mã Độc Tống Tiền Cross-Platform VolkLocker

Nhóm CyberVolk đã tái xuất với VolkLocker, một ransomware-as-a-service viết bằng Go, nhắm vào cả môi trường Linux và Windows. Mặc dù quá trình phát triển gấp rút, nền tảng này vẫn kết hợp tự động hóa dựa trên Telegram với mã hóa mạnh mẽ, mang lại cho các operator liên kết một con đường dễ dàng để xâm nhập cơ sở hạ tầng rộng lớn.

• Kỹ thuật: VolkLocker sử dụng kỹ thuật bypass UAC dựa trên registry “ms-settings” để leo thang đặc quyền một cách lén lút, sau đó thực hiện kiểm tra môi trường rộng rãi để tránh sandbox và tập trung vào các hệ thống sản xuất.

Mã Độc ValleyRAT (Winos/Winos4.0) với Rootkit Kernel-mode

• Mô tả: ValleyRAT đã phát triển thành một backdoor mô-đun với rootkit kernel-mode nhúng, có thể giữ các chữ ký hợp lệ và tải trên các hệ thống Windows 11 đã được vá hoàn chỉnh.
• Phát hiện: Sau khi công cụ builder của nó bị rò rỉ, số lượng phát hiện đã tăng vọt, với khoảng 85% mẫu được quan sát trong sáu tháng qua và được sử dụng ngày càng nhiều bởi nhiều kẻ tấn công.
• Kỹ thuật: Mã độc này chuỗi các mô-đun beaconing giai đoạn đầu với một plugin driver cài đặt rootkit đã ký một cách lén lút, inject shellcode chế độ người dùng và buộc loại bỏ các driver AV/EDR từ các nhà cung cấp như Qihoo 360, Huorong, Tencent và Kingsoft để tạo ra điểm mù.

Atomic macOS Stealer (AMOS) qua ChatGPT/Grok Lures

• Mô tả: Kẻ tấn công đang lạm dụng các liên kết trò chuyện ChatGPT và Grok hợp pháp, có thứ hạng cao trong kết quả tìm kiếm, để dụ người dùng macOS chạy các lệnh Terminal độc hại cài đặt Atomic macOS Stealer (AMOS).
• Kỹ thuật: Cuộc tấn công sử dụng các payload được mã hóa base64, tận dụng dscl và sudo -S để xác thực và sử dụng lại thông tin đăng nhập của người dùng, đồng thời thiết lập tính bền bỉ thông qua LaunchDaemons. Điều này khai thác sự tin tưởng của người dùng vào các nền tảng AI thay vì khai thác các lỗ hổng zero-day của hệ điều hành.
• Hậu quả: AMOS thu thập dữ liệu trình duyệt, thông tin đăng nhập, cookie và các bí mật khác từ các endpoint Mac, cho phép chiếm đoạt tài khoản và di chuyển ngang trong môi trường người tiêu dùng và doanh nghiệp.

Các Mối Đe Dọa Phishing và Đánh Cắp Thông Tin

Chiến thuật phishing tiếp tục phát triển với các công cụ tinh vi hơn và các mục tiêu đa dạng, từ thông tin đăng nhập ngân hàng đến dữ liệu cá nhân.

Khuôn Khổ Phishing “Spiderman”

• Mô tả: Khuôn khổ phishing “Spiderman” mới cho phép các kẻ tấn công có kỹ năng thấp tạo ra các bản sao hoàn hảo của hàng chục cổng thông tin ngân hàng và tiền điện tử Châu Âu thông qua giao diện điểm và nhấp.
• Tính năng: Bộ công cụ này tập trung hỗ trợ các ngân hàng lớn, thêm tính năng kiểm soát phiên thời gian thực và bao gồm các mô-đun chuyên dụng để thu thập mã 2FA như PhotoTAN và OTP trong khi operator theo dõi các phiên trực tiếp.
• Né tránh: Spiderman cũng né tránh các biện pháp gỡ bỏ bằng cách sử dụng các quy tắc lọc geo/thiết bị và chống phân tích chi tiết. Nó mở rộng gian lận sang tiền điện tử bằng cách thu thập seed phrases của ví cho các nền tảng như Ledger, MetaMask và Exodus.

Rò Rỉ Thông Tin Đăng Nhập Sau Tấn Công Phishing

Các nghiên cứu gần đây chỉ ra cách thông tin đăng nhập thu thập được qua phishing di chuyển qua một nền kinh tế ngầm đa tầng, từ việc thu thập ban đầu trên các trang giả mạo đến phân phối qua email, Telegram bots, hoặc các bảng điều khiển phishing-as-a-service như BulletProofLink và Caffeine.

• Rủi ro dài hạn: Dữ liệu bị đánh cắp được tổng hợp, trao đổi và tái sử dụng nhiều lần để chiếm đoạt tài khoản, gian lận và xâm nhập tiếp theo. Ngay cả thông tin đăng nhập cũ bị phishing cũng có thể tiếp tục gây rủi ro lâu dài nếu không được thu hồi và giám sát đúng cách.

Điểm Yếu Phần Mềm và Lỗ Hổng Sản Phẩm Cụ Thể

Nhiều nhà cung cấp đã công bố và vá các lỗ hổng nghiêm trọng trong sản phẩm của họ, từ thiết bị mạng đến phần mềm doanh nghiệp.

Lỗ Hổng WatchGuard Firebox

• Bản vá: WatchGuard Firebox đã nhận được bản sửa lỗi cho mười lỗ hổng.
• Điểm nổi bật: Bao gồm nhiều lỗi ghi ngoài giới hạn (out-of-bounds write) trong CLI và daemon chứng chỉ cho phép quản trị viên đã xác thực đạt được thực thi mã tùy ý, một lỗ hổng XPath injection mức độ nghiêm trọng cao làm lộ dữ liệu cấu hình, và một số lỗi XSS được lưu trữ trong tích hợp bên thứ ba.
• Phiên bản ảnh hưởng: Cần cập nhật ngay lên Fireware OS 2025.1.3, 12.11.5 và 12.5.14, đặc biệt đối với các giao diện quản lý bị lộ hoặc các thiết lập IPSec cũ.

Lỗ Hổng Fortinet Quan Trọng

FortiCloud SSO (Xác minh Chữ ký Mật mã Không Đúng)

• Mô tả: Fortinet đã tiết lộ một vấn đề xác minh chữ ký mật mã không đúng nghiêm trọng trong việc xử lý FortiCloud SSO, cho phép kẻ tấn công không được xác thực giả mạo tin nhắn SAML và giành quyền truy cập quản trị khi bật đăng nhập FortiCloud.
• Khuyến nghị: Cần nâng cấp khẩn cấp một loạt các bản phát hành FortiOS, FortiProxy, FortiWeb và FortiSwitchManager. Vô hiệu hóa FortiCloud SSO là một giải pháp tạm thời cho các môi trường không thể vá ngay lập tức.

FortiSandbox (OS Command Injection)

• Mô tả: Một vấn đề FortiSandbox riêng biệt cho phép kẻ tấn công khai thác lỗ hổng OS command injection để chạy các lệnh tùy ý trên các thiết bị bị ảnh hưởng.
• Rủi ro: Đe dọa cả tính toàn vẹn của sandbox và các mạng được giám sát liền kề.
• Khuyến nghị: Fortinet đã phát hành các phiên bản firmware đã sửa lỗi và khuyến nghị nâng cấp ngay lập tức cho bất kỳ triển khai sandbox nào được kết nối internet hoặc chia sẻ nhiều tenant.

Lỗ Hổng Deserialization SAP Quan Trọng

• Bản vá: SAP Security Patch Day tháng 12 đã phát hành 14 ghi chú.
• Điểm nổi bật: Bao gồm ba vấn đề nghiêm trọng, chẳng hạn như lỗ hổng code injection được đánh giá 9.9 trong SAP Solution Manager và các lỗ hổng nghiêm trọng trong Commerce Cloud (Tomcat) và deserialization của jConnect có thể cho phép thực thi mã từ xa và xâm phạm hệ thống.
• Khuyến nghị: SAP kêu gọi vá lỗi nhanh chóng thông qua Cổng hỗ trợ và kiểm tra trước trong môi trường phi sản xuất.

Lỗ Hổng SoapWn.NET và Notepad++

• SoapWn.NET: Các lỗ hổng được tiết lộ trong SoapWn.NET, một framework kiểm thử SOAP của .NET, có thể bị lạm dụng để chạy mã tùy ý hoặc thao túng cấu hình kiểm thử khi mở các file dự án hoặc phản hồi được tạo thủ công. Các đội phát triển và QA nên vá lỗi lên bản phát hành mới nhất.
• Notepad++: Kẻ tấn công đang khai thác một lỗ hổng Notepad++ để phân phối payload độc hại, sử dụng các plugin độc hại hoặc các file được tạo thủ công để thực thi mã trên các endpoint của nhà phát triển và IT.

Các Phát Triển và Cập Nhật Trong Bảo Mật

Ngành bảo mật không ngừng phát triển với các công cụ mới và phân tích sâu sắc hơn về các điểm yếu phổ biến.

Kali Linux 2025.4 Ra Mắt

• Phiên bản mới: Nhóm Kali Linux đã phát hành phiên bản 2025.4, bản cập nhật cuối cùng của năm.
• Tính năng: Mang đến kernel 6.16, môi trường GNOME, KDE và Xfce được làm mới, và trải nghiệm desktop tập trung hoàn toàn vào Wayland. Các công cụ tấn công nhận được một số gói mới, trong khi NetHunter tích hợp chặt chẽ hơn với Wifipumpkin3 để hỗ trợ các cuộc tấn công không dây nâng cao như thiết lập Evil Twin và phishing cổng captive.
• Lợi ích: Cải thiện khả năng sử dụng hàng ngày và mở rộng phạm vi đánh giá cho các chuyên gia kiểm thử xâm nhập.

MITRE CWE Top 25 Most Dangerous Software Weaknesses 2025

• Mô tả: MITRE đã công bố Danh sách 25 điểm yếu phần mềm nguy hiểm nhất năm 2025, phân tích hàng chục nghìn CVE để xác định các nguyên nhân gốc rễ bị khai thác thường xuyên nhất.
• Điểm nổi bật: Cross-site scripting và SQL injection vẫn đứng đầu danh sách, nhưng bảng xếp hạng cũng cho thấy sự gia tăng các điểm yếu ủy quyền như thiếu ủy quyền và kiểm soát truy cập không chính xác, cùng với các lỗi bộ nhớ dai dẳng như ghi ngoài giới hạn, use-after-free và tràn bộ đệm cổ điển.
• Khuyến nghị: Danh sách này cung cấp một lộ trình thực tế cho các sáng kiến secure-by-design, đề xuất tập trung mạnh mẽ hơn vào các ngôn ngữ an toàn bộ nhớ, xác thực đầu vào mạnh mẽ và kiểm tra ủy quyền có hệ thống trong kiến trúc đám mây và microservices.

Rủi Ro Bảo Mật Đám Mây và AI

Các nền tảng đám mây và công nghệ AI mang lại tiện ích nhưng cũng tiềm ẩn những rủi ro bảo mật mới cần được giải quyết.

Độ Trễ Nhất Quán Của AWS IAM

• Mô tả: Nghiên cứu từ OFFENSAI cho thấy độ trễ nhất quán 3-4 giây của IAM cho phép kẻ tấn công duy trì hoặc thiết lập lại quyền truy cập ngay cả sau khi người phòng thủ xóa các khóa truy cập bị xâm phạm hoặc áp dụng các chính sách từ chối, bởi vì trạng thái cũ vẫn có thể sử dụng được trong thời gian ngắn trên các khu vực.
• Khuyến nghị: Thực thi SCP cấp tài khoản thông qua AWS Organizations, ưu tiên STS và truy cập dựa trên vai trò có thời hạn ngắn thay vì các khóa dài hạn, và cập nhật các playbook phản ứng sự cố để tính đến độ trễ lan truyền.

Tấn Công ConsentFix Trên Tài Khoản Microsoft

• Mô tả: Kỹ thuật “ConsentFix” mới thao túng luồng đồng ý OAuth và các quyền ứng dụng hiện có để âm thầm leo thang quyền truy cập vào các tài khoản Microsoft, cho phép kẻ tấn công duy trì quyền mà không cần đánh cắp thông tin đăng nhập truyền thống.
• Khuyến nghị: Các tổ chức nên xem xét các quyền ứng dụng doanh nghiệp, thực thi quyền đồng ý chỉ dành cho quản trị viên đối với các phạm vi có rủi ro cao, và thắt chặt các chính sách truy cập có điều kiện và quản lý ứng dụng.

Lỗ Hổng Gemini Zero-Click (Prompt Injection)

• Mô tả: Vấn đề “GeminiJack” trong Google Gemini Enterprise (và Vertex AI Search trước đây) đã khai thác kỹ thuật prompt-injection trong các tài liệu Docs, sự kiện Lịch và email được chia sẻ.
• Khai thác: Lừa pipeline RAG của Gemini để truy vấn dữ liệu Workspace nhạy cảm và exfiltrate kết quả qua các yêu cầu hình ảnh ẩn, tất cả đều không cần tương tác của người dùng.
• Khuyến nghị: Google đã tách biệt các dịch vụ và tăng cường xử lý hướng dẫn, nhưng trường hợp này nhấn mạnh sự cần thiết phải hạn chế nguồn dữ liệu AI, giám sát hành vi RAG và coi các trợ lý AI như các bộ xử lý dữ liệu có đặc quyền trong các mô hình mối đe dọa.

Các Chiến Dịch Tấn Công Nổi Bật và IOCs

Những chiến dịch tấn công này thể hiện các kỹ thuật đa dạng và mục tiêu rộng lớn, nhấn mạnh sự cần thiết của threat intelligence.

Chiến Dịch Giám Sát Của OceanLotus (APT32)

Nhóm OceanLotus (APT32) đang tiến hành một chiến dịch giám sát có mục tiêu nhắm vào stack IT “Xinchuang” của Trung Quốc, lạm dụng chuỗi cung ứng phần cứng/phần mềm nội địa từng được coi là chống lại hoạt động gián điệp. Nhóm này sử dụng spear-phishing với các file .desktop độc hại, mồi nhử WPS PDF và các tệp lưu trữ JAR, sau đó chuỗi brute-forcing các máy chủ bảo mật nội bộ với các nghi ngờ lỗ hổng zero-day để đẩy các script cập nhật độc hại.

• Khai thác CVE: Một lỗi N-day trong Atril (CVE-2023-52076) được vũ khí hóa thông qua các EPUB được tạo thủ công để đạt được path traversal và ghi file tùy ý, thả một trình tải .desktop tự động khởi động và payload được mã hóa giải mã thành một Python downloader khi đăng nhập.

Chiến Dịch Salt Typhoon Nhắm Vào Cơ Sở Hạ Tầng Cisco

Các nhà nghiên cứu đã xác định Yuyang và Qiu Daibing là những cá nhân chủ chốt đứng sau chiến dịch Salt Typhoon nhắm vào cơ sở hạ tầng Cisco trên toàn thế giới. Với kiến thức sâu sắc về Cisco IOS và ASA firewalls, chiến dịch này đã xâm phạm hơn 80 nhà cung cấp viễn thông, chặn các liên lạc không được mã hóa.

• Kỹ thuật: Chiến dịch cũng lạm dụng cơ sở hạ tầng lawful-intercept (CALEA) để thu thập thông tin tình báo quy mô lớn.

Các Chỉ Số Compromise (IOCs)

Dựa trên các cuộc tấn công được mô tả, các IOC sau đây có thể được trích xuất để hỗ trợ phát hiện và phòng thủ:

• Go Malicious Packages:
  • github.com/bpoorman/uuid
  • github.com/bpoorman/uid
• Malicious VS Code/AI IDE Extensions:
  • “Piithon-linter” (typo-squatted)
  • Merlin C2 agents (triển khai trên Windows, macOS, Linux)
• Android Banking Trojan Dropper:
  • App name: “Document Reader – File Manager”
  • Payload: Anatsa (TeaBot) banking trojan
• Linux Backdoor: GhostPenguin
  • C2 Communication: Encrypted UDP, port 53 (RC5 encryption)
• macOS InfoStealer: Atomic macOS Stealer (AMOS)
  • Phân phối qua các lệnh Terminal độc hại (base64-encoded payloads) sau khi bị lôi kéo bởi ChatGPT/Grok lures.
  • Persistence: LaunchDaemons
• Ransomware: VolkLocker
  • Language: Go
  • UAC Bypass: Registry-based “ms-settings”
• Backdoor: ValleyRAT (Winos/Winos4.0)
  • Kernel-mode rootkit
• Phishing Framework: Spiderman
  • Mục tiêu: European banking and crypto portals
  • Tính năng: Real-time session control, capture 2FA (PhotoTAN, OTP), harvest wallet seed phrases.
• CVE-2023-52076 (Atril): Khai thác qua EPUB độc hại để path traversal và ghi file tùy ý, thả autostart .desktop loader và Python downloader.