Mã độc giả mạo chứng từ tài chính phát tán qua WhatsApp, Việt Nam bị nhắm tới

Theo báo cáo của Kaspersky, trong tháng 6/2026, nhóm Phân tích và Nghiên cứu toàn cầu của hãng bảo mật này phát hiện một chiến dịch mã độc quy mô lớn phát tán qua WhatsApp. Chiến dịch nhắm tới người dùng WhatsApp Desktop và WhatsApp Web tại nhiều quốc gia, vùng lãnh thổ, trong đó có Malaysia, Brazil, Ấn Độ, Mexico, Singapore, Anh, Tây Ban Nha, Đài Loan (Trung Quốc), Australia, Nga và Việt Nam.

Trong tháng 6/2026, nhóm Phân tích và Nghiên cứu toàn cầu của Kaspersky phát hiện một chiến dịch mã độc quy mô lớn phát tán qua WhatsApp. Ảnh minh họa

Điểm đáng chú ý là mã độc được phát tán thông qua các tài khoản WhatsApp đã bị xâm nhập trước đó. Từ những tài khoản này, đối tượng tấn công gửi tệp đính kèm độc hại tới danh bạ của nạn nhân. Việc tin nhắn xuất phát từ người quen khiến người nhận dễ mất cảnh giác và mở tệp.

Các tệp độc hại thường được đặt tên giống tài liệu nghiệp vụ, chứng từ tài chính hoặc hồ sơ thanh toán như hóa đơn, sao kê ngân hàng, báo cáo tài khoản, chứng từ thanh toán, thông báo công nợ. Một số tên tệp còn được bản địa hóa bằng nhiều ngôn ngữ, cho thấy chiến dịch có phạm vi phát tán rộng.

Về kỹ thuật, tệp đính kèm là VBScript, một dạng script có thể được thực thi trên hệ điều hành Windows thông qua Windows Script Host. Khi người dùng mở tệp, mã độc kích hoạt chuỗi lây nhiễm nhiều giai đoạn, tạo thư mục làm việc trên hệ thống, kết nối tới máy chủ điều khiển từ xa và tải thêm các thành phần độc hại.

Kaspersky cho biết một số mẫu VBScript được chèn chú thích và siêu dữ liệu nhằm giả dạng thành phần Windows Update, qua đó che giấu hành vi khi bị kiểm tra. Sau khi thực thi, mã độc tải các payload thứ cấp, trong đó có thành phần tìm cách can thiệp cơ chế User Account Control của Windows và thành phần tải gói cài đặt công cụ quản trị từ xa ManageEngine RMM Central.

ManageEngine RMM Central vốn là phần mềm hợp pháp dùng cho giám sát, quản trị và hỗ trợ kỹ thuật từ xa. Tuy nhiên, trong chiến dịch này, công cụ bị lợi dụng để tạo kênh truy cập trái phép vào máy tính nạn nhân. Khi cài đặt thành công, kẻ tấn công có thể điều khiển hệ thống từ xa, thực hiện lệnh, theo dõi hoạt động hoặc tiếp tục triển khai các hành vi xâm nhập khác.

Chuỗi tấn công có sự khác biệt giữa WhatsApp Web và WhatsApp Desktop. Với WhatsApp Web, người dùng thường phải tải tệp xuống máy rồi mở từ thư mục tải xuống hoặc lịch sử tải xuống của trình duyệt. Trong khi đó, với WhatsApp Desktop, mã độc có thể được kích hoạt trực tiếp từ ứng dụng; tiến trình WhatsApp.Root.exe sau đó gọi WScript.exe để thực thi VBScript.

Những tin nhắn lừa đảo qua WhatsApp.

Các chuyên gia khuyến cáo người dùng không mở tệp đính kèm bất thường trên WhatsApp, kể cả khi tệp được gửi từ tài khoản người quen. Đặc biệt cần cảnh giác với các định dạng có khả năng thực thi mã như .vbs, .vbe, .exe, .bat, .cmd, .js, .ps1 nếu chưa xác minh độc lập nguồn gốc và mục đích gửi tệp.

Người dùng nên bật xác thực hai bước cho tài khoản WhatsApp, cập nhật hệ điều hành và phần mềm bảo mật, kiểm tra kỹ phần mở rộng của tệp trước khi mở. Đối với cơ quan, doanh nghiệp, cần giám sát các hành vi bất thường liên quan đến WScript.exe, truy cập tới hạ tầng không rõ nguồn gốc và việc cài đặt trái phép phần mềm quản trị từ xa.

Vụ việc cho thấy các nền tảng nhắn tin quen thuộc tiếp tục bị tội phạm mạng lợi dụng làm kênh phát tán mã độc. Trong môi trường số, tin nhắn từ người quen không đồng nghĩa với an toàn; mọi tệp đính kèm bất thường đều cần được kiểm chứng trước khi mở.

Nhật Minh