Nguyễn Tiến Đạt
Intern Writer
Chiến dịch phần mềm độc hại “Mèo đen” nhắm vào người dùng tìm kiếm phần mềm phổ biến
Theo báo cáo từ CNCERT/CC và ThreatBook (Beijing Weibu Online), chiến dịch này đẩy các trang web giả lên đầu kết quả tìm kiếm trên các công cụ như Microsoft Bing, đặc biệt nhắm mục tiêu người dùng tìm Google Chrome, Notepad++, QQ International và iTools.
Các tổ chức phân tích cho biết người dùng truy cập những trang web có thứ hạng cao này sẽ bị dụ tải về bộ cài “ngụy trang”, trong đó đính kèm chương trình độc hại. Sau khi cài đặt, máy tính âm thầm bị cài Trojan cửa hậu, tạo điều kiện cho kẻ tấn công xâm nhập và đánh cắp dữ liệu mà người dùng không hề hay biết.
Nhóm Black Cat được ghi nhận hoạt động ít nhất từ năm 2022 thông qua hàng loạt đợt tấn công nhằm chiếm quyền điều khiển máy nạn nhân và đánh cắp dữ liệu. Năm 2023, nhóm này được cho là đã đánh cắp ít nhất 160.000 USD (~4 tỷ VNĐ) bằng cách giả mạo nền tảng giao dịch tiền điện tử AICoin.
Việc chèn “cn” trong tên miền cho thấy nhóm nhắm vào người dùng Trung Quốc, vốn có xu hướng tìm phần mềm thông qua công cụ tìm kiếm.
Nếu người dùng nhấn nút tải xuống, họ bị chuyển đến URL giả dạng GitHub, “github.zh-cns[.]top”, để tải một tệp ZIP. Trong đó chứa một trình cài đặt tạo lối tắt trên màn hình. Lối tắt này lại kích hoạt cài đặt DLL độc hại và khởi chạy phần mềm độc hại.
Mã độc sau đó kết nối tới máy chủ điều khiển cố định “sbido[.]com:2869”, cho phép Black Cat đánh cắp dữ liệu trình duyệt, ghi thao tác bàn phím, trích xuất clipboard và lấy các thông tin giá trị khác từ hệ thống bị xâm nhập.
Theo thống kê từ CNCERT/CC và ThreatBook, nhóm Mèo Đen đã xâm nhập khoảng 277.800 máy chủ tại Trung Quốc trong giai đoạn 7–20/7/2025, với mức kỷ lục 62.167 máy bị tấn công chỉ trong một ngày.(thehackernews)
Mánh lừa SEO nhằm phát tán phần mềm độc hại
Một nhóm tội phạm mạng có tên Black Cat (Mèo Đen) bị cáo buộc triển khai chiến dịch đầu độc công cụ tìm kiếm SEO, tạo ra các trang web giả mạo quảng cáo phần mềm nổi tiếng để đánh lừa người dùng tải bộ cài nhiễm mã độc nhằm đánh cắp dữ liệu nhạy cảm.
Theo báo cáo từ CNCERT/CC và ThreatBook (Beijing Weibu Online), chiến dịch này đẩy các trang web giả lên đầu kết quả tìm kiếm trên các công cụ như Microsoft Bing, đặc biệt nhắm mục tiêu người dùng tìm Google Chrome, Notepad++, QQ International và iTools.
Các tổ chức phân tích cho biết người dùng truy cập những trang web có thứ hạng cao này sẽ bị dụ tải về bộ cài “ngụy trang”, trong đó đính kèm chương trình độc hại. Sau khi cài đặt, máy tính âm thầm bị cài Trojan cửa hậu, tạo điều kiện cho kẻ tấn công xâm nhập và đánh cắp dữ liệu mà người dùng không hề hay biết.
Nhóm Black Cat được ghi nhận hoạt động ít nhất từ năm 2022 thông qua hàng loạt đợt tấn công nhằm chiếm quyền điều khiển máy nạn nhân và đánh cắp dữ liệu. Năm 2023, nhóm này được cho là đã đánh cắp ít nhất 160.000 USD (~4 tỷ VNĐ) bằng cách giả mạo nền tảng giao dịch tiền điện tử AICoin.
Nhắm mục tiêu người dùng Trung Quốc và kỹ thuật triển khai
Trong chiến dịch mới nhất, người tìm kiếm Notepad++ liên tục được điều hướng đến các liên kết giả mạo tinh vi, trong đó có trang “cn-notepadplusplus[.]com”. Những tên miền khác được Black Cat đăng ký gồm “cn-obsidian[.]com,” “cn-winscp[.]com,” và “notepadplusplus[.]cn.”Việc chèn “cn” trong tên miền cho thấy nhóm nhắm vào người dùng Trung Quốc, vốn có xu hướng tìm phần mềm thông qua công cụ tìm kiếm.
Nếu người dùng nhấn nút tải xuống, họ bị chuyển đến URL giả dạng GitHub, “github.zh-cns[.]top”, để tải một tệp ZIP. Trong đó chứa một trình cài đặt tạo lối tắt trên màn hình. Lối tắt này lại kích hoạt cài đặt DLL độc hại và khởi chạy phần mềm độc hại.
Mã độc sau đó kết nối tới máy chủ điều khiển cố định “sbido[.]com:2869”, cho phép Black Cat đánh cắp dữ liệu trình duyệt, ghi thao tác bàn phím, trích xuất clipboard và lấy các thông tin giá trị khác từ hệ thống bị xâm nhập.
Theo thống kê từ CNCERT/CC và ThreatBook, nhóm Mèo Đen đã xâm nhập khoảng 277.800 máy chủ tại Trung Quốc trong giai đoạn 7–20/7/2025, với mức kỷ lục 62.167 máy bị tấn công chỉ trong một ngày.(thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
