Tin tức an ninh mạng mới cho thấy một chiến dịch phishing quy mô lớn đang nhắm vào các tổ chức tại Mỹ, sử dụng thư mời sự kiện giả để đánh cắp thông tin đăng nhập, chặn mã OTP hoặc cài công cụ truy cập từ xa. Chiến dịch này hoạt động từ ít nhất tháng 12/2025 và tiếp tục mở rộng với nhiều tên miền độc hại được triển khai theo cùng một khung mẫu lặp lại.
Phishing campaign sử dụng lure theo sự kiện
Điểm đáng chú ý của phishing campaign này không chỉ nằm ở số lượng tên miền, mà còn ở cách toàn bộ luồng tấn công được thiết kế để trông giống một quy trình hợp lệ. Nạn nhân được dẫn qua trang kiểm tra CAPTCHA, sau đó mới tới trang mời sự kiện giả, rồi đến màn hình yêu cầu đăng nhập hoặc tải tệp.
Chuỗi hành vi này giúp giảm nghi ngờ trong quá trình tương tác ban đầu. Theo báo cáo từ ANY.RUN, chiến dịch dùng một khung phishing duy nhất để triển khai hàng loạt trang lure theo chủ đề sự kiện ở quy mô lớn. Xem báo cáo gốc tại ANY.RUN cybersecurity blog.
Cấu trúc hạ tầng và quy mô chiến dịch
Tính đến 27/04/2026, gần 160 liên kết đáng ngờ liên quan đã được gửi vào sandbox của ANY.RUN, cùng khoảng 80 tên miền phishing được xác định. Phần lớn các domain được đăng ký dưới TLD .de và đặt tên theo các chủ đề như tiệc, chúc mừng, lời mời.
Các trang phishing sử dụng cấu trúc đồng nhất: chỉ thay logo phía trên, nhưng giữ nguyên form và bố cục bên dưới. Các biểu tượng dịch vụ như office360.png, yahoo.png, google.png, và aol.png được lưu trong cùng đường dẫn /Image/ trên nhiều domain khác nhau. Đây là dấu vết hữu ích để nối các domain có cùng hạ tầng.
Chuỗi truy cập điển hình
Ở các phiên quan sát được, trình tự truy cập thường gồm:
- Kiểm tra CAPTCHA.
- Hiển thị trang mời sự kiện giả.
- Yêu cầu đăng nhập hoặc tải tệp.
- Chuyển hướng sang thu thập mật khẩu, OTP, hoặc tải công cụ từ xa.
Do luồng này được chuẩn hóa, chiến dịch có thể mở rộng nhanh mà vẫn giữ cảm giác “bình thường” đối với người dùng.
Hành vi chiếm đoạt thông tin đăng nhập
Khi mục tiêu là credential theft, trang lure sẽ yêu cầu người dùng đăng nhập bằng các dịch vụ như Google, Yahoo, AOL hoặc Microsoft. Sau khi nhập mật khẩu, nạn nhân có thể thấy thông báo giả dạng “Incorrect Password” để bị dụ nhập lại lần nữa nếu gõ sai ở lần đầu.
Dữ liệu bị thu thập được gửi qua các yêu cầu POST đến các endpoint phía server như /processmail.php. Sau đó, trang tiếp tục hiển thị form chặn OTP và gửi mã xác thực đến /process.php.
Với người dùng Gmail, một form xác thực Google giả mạo chuyển dữ liệu đăng nhập qua /pass.php và /mlog.php, đồng thời kiểm tra Telegram-linked user ID qua /check_telegram_updates.php.
Đường dẫn và endpoint quan sát được
- /processmail.php – Gửi dữ liệu đăng nhập bị thu thập.
- /process.php – Gửi OTP hoặc mã xác thực.
- /pass.php – Nhận dữ liệu từ form đăng nhập giả.
- /mlog.php – Ghi nhận dữ liệu phiên đăng nhập.
- /check_telegram_updates.php – Kiểm tra liên kết người dùng.
Phương thức phát hiện trong threat intelligence
Các đội ngũ an ninh mạng có thể dùng fingerprint hạ tầng để truy vết các domain liên quan. Mẫu truy vấn TI được nêu trong báo cáo là:
url:"/blocked.html" AND url:"/favicon.ico"url:"/Image/*.png"Việc giám sát chuỗi truy cập tuần tự tới /favicon.ico, /blocked.html, và đường dẫn /Image/*.png cũng là một tín hiệu đáng tin cậy cho thấy một phiên phishing đang diễn ra.
Trong môi trường threat intelligence, các IOC dạng domain và IP trong báo cáo được làm mờ để tránh phân giải ngoài ý muốn. Khi cần dùng lại, chỉ nên giải mã trong môi trường kiểm soát như MISP, VirusTotal hoặc SIEM.
IOC trích xuất từ chiến dịch phishing
- Hành vi: CAPTCHA trước, rồi tới trang mời sự kiện giả.
- Hành vi: Form thu thập mật khẩu và OTP.
- Hành vi: Chuyển hướng sang tải công cụ truy cập từ xa.
- Đường dẫn: /blocked.html, /favicon.ico, /Image/*.png.
- Đường dẫn: /processmail.php, /process.php, /pass.php, /mlog.php, /check_telegram_updates.php.
- Tệp biểu tượng: office360.png, yahoo.png, google.png, aol.png.
Remote access tools được phân phối
Ngoài đánh cắp thông tin đăng nhập, chiến dịch còn đẩy các công cụ truy cập từ xa như ScreenConnect, ITarian, Datto RMM, ConnectWise, và LogMeIn Rescue. Trong một số trường hợp, gói tải xuống được kích hoạt tự động mà không cần người dùng nhấn thêm nút nào.
Đây là lý do các đội vận hành cần chú ý tới việc xuất hiện bất thường của phần mềm RMM trong môi trường người dùng. Việc cài đặt ngoài kế hoạch có thể là dấu hiệu cho thấy hệ thống đã bị tấn công.
Tác động hệ thống
Nếu liên kết phishing được mở bởi đúng mục tiêu, hậu quả có thể gồm:
- Stolen inbox và truy cập trái phép vào hộp thư.
- Intercepted verification codes do OTP bị chặn ở bước sau.
- Remote tool running silently trong mạng nội bộ.
- Hệ thống bị xâm nhập qua công cụ truy cập từ xa.
Với các tổ chức thuộc nhóm giáo dục, ngân hàng, chính phủ, công nghệ và y tế, nguy cơ đặc biệt đáng chú ý vì email access và remote administration tools thường xuất hiện trong vận hành hằng ngày.
Luồng tấn công và dấu hiệu săn tìm
Chiến dịch này cho thấy mức độ tự động hóa cao. Một số thành phần trang có dấu hiệu gợi ý khả năng tạo nội dung hỗ trợ bởi AI, cho phép dựng nhanh các lure site mới với chi phí thấp. Dù vậy, hạ tầng dùng chung vẫn để lại các mẫu lặp có thể truy vết.
Với các nhóm phát hiện xâm nhập, việc theo dõi fingerprint đường dẫn, cấu trúc form, và chuỗi truy cập là cách hiệu quả để liên kết các trang phishing khác nhau trong cùng một chiến dịch.
Các tín hiệu cần giám sát
- CAPTCHA xuất hiện trước khi hiển thị nội dung mời sự kiện.
- Yêu cầu đăng nhập vào các dịch vụ email phổ biến.
- Thông báo lỗi mật khẩu giả mạo sau lần nhập đầu tiên.
- Form chặn OTP hoặc mã xác minh.
- Tải xuống công cụ RMM bất thường.
- Truy cập tuần tự tới /favicon.ico, /blocked.html, và /Image/*.png.
Với các chỉ dấu trên, ưu tiên kiểm tra log web proxy, DNS, và phiên truy cập đầu tiên để xác định mức độ rủi ro bảo mật và phạm vi ảnh hưởng của phishing campaign này.
