Lỗ hổng zero-day trong Google Chrome bị hacker khai thác triển khai mã độc backdoor Trinper

[WhiteHat Team]

Một lỗ hổng bảo mật đã được phát hiện trong Google Chrome và bị nhóm hacker có tên TaxOff khai thác như một lỗ hổng zero-day, để triển khai cài đặt mã độc (backdoor malware) mang tên Trinper.

Google đã kịp thời vá ngay lỗ hổng này vào cuối tháng 3/2025:

• Mã khai thác: CVE-2025-2783 (điểm CVSS: 8.3)
• Loại lỗi: Sandbox escape (thoát khỏi cơ chế bảo vệ trình duyệt)
• Tình trạng: Đã được Google vá vào cuối tháng 3/2025
• Bị khai thác trong tự nhiên (in-the-wild): Có, trong chiến dịch Operation ForumTroll do Kaspersky phát hiện

Quy trình khai thác và tấn công​

Giai đoạn 1: Phishing - lừa đảo qua email​

• Nạn nhân nhận được email mời tham dự một sự kiện danh tiếng (ví dụ: tham gia diễn đàn Primakov Readings)
• Khi người dùng bấm vào đường dẫn, họ bị chuyển đến một website giả mạo chứa mã khai thác
• Mã độc khai thác lỗ hổng Chrome CVE-2025-2783 chỉ với một cú nhấp chuột (one-click exploit)
• Ngay sau đó, mã độc Trinper được âm thầm cài đặt vào hệ thống

Giai đoạn 2: Hoạt động của Trinper​

• Ngôn ngữ lập trình: C++
• Chức năng chính:
  • Ghi nhận thao tác bàn phím (keylogger)
  • Thu thập tệp có phần mở rộng như: .doc, .xls, .ppt, .rtf và .pdf
  • Kết nối máy chủ điều khiển (C2) để nhận lệnh và gửi dữ liệu
  • Có thể thực thi lệnh cmd, mở shell từ xa, ghi/xóa tệp hoặc tự xóa chính mình
• Kỹ thuật đặc biệt: Dùng đa luồng (multithreading) để hoạt động âm thầm vừa thu thập dữ liệu vừa giữ liên lạc C2 và triển khai module độc hại bổ sung (nếu cần)

Mức độ nguy hiểm và phạm vi ảnh hưởng​

• Mức độ nghiêm trọng: Cao, do lỗ hổng CVE-2025-2783 từng bị khai thác dưới dạng zero-day trước khi được vá
• Đối tượng bị nhắm tới: Cơ quan nhà nước, tổ chức chính phủ và doanh nghiệp lớn
• Khả năng ẩn mình: Cao, nhờ sử dụng mã hóa đa luồng, giao tiếp C2 và các kỹ thuật tránh bị phát hiện

Khuyến nghị cho người dùng và tổ chức​

Đối với người dùng phổ thông:​

• Cập nhật Chrome ngay lập tức: nâng lên bản 134.0.6998.177/178 trở lên trên Windows (và các bản patch tương ứng của MS Edge, Opera, Brave…)
• Sử dụng giải pháp bảo vệ email, lọc/mã hóa liên kết đáng ngờ
• Không mở email lạ, đặc biệt có file đính kèm ZIP hoặc click vào link không rõ nguồn gốc
• Luôn cập nhật trình duyệt Chrome và các phần mềm khác lên phiên bản mới nhất
• Sử dụng phần mềm chống virus có khả năng phát hiện các hoạt động bất thường (hành vi, C2)

Đối với doanh nghiệp, tổ chức:​

• Áp dụng EDR, XDR để phát hiện hoạt động đa tầng của mã độc
• Theo dõi logs mạng để phát hiện kết nối tới các máy chủ C2 khả nghi
• Tăng cường giám sát các file shortcut, PowerShell và hành vi tải file từ Internet
• Thực hiện diễn tập mô phỏng tấn công APT, kiểm tra khả năng phát hiện & phản ứng của SOC

Chiến dịch lợi dụng lỗ hổng zero-day Chrome để phát tán mã độc Trinper của nhóm TaxOff là một lời cảnh báo về sự gia tăng của các cuộc tấn công chuỗi kỹ thuật cao nhắm vào các mục tiêu có giá trị cao. Trong kỷ nguyên của zero-day, phishing thông minh và phần mềm gián điệp ngụy trang, an toàn và bảo mật trên không gian mạng không còn là việc của riêng bộ phận IT mà còn đòi hỏi sự tỉnh táo và phối hợp từ cả người dùng cá nhân và tổ chức.

Theo The Hacker News​