Mã độc VBS phát tán qua WhatsApp, vượt qua lớp bảo vệ quan trọng của Windows

[WhiteHat Team]

Microsoft vừa phát hiện một chiến dịch tấn công mới sử dụng tin nhắn WhatsApp để phát tán tệp mã độc dạng VBS (Visual Basic Script). Chiến dịch này xuất hiện từ cuối tháng 2/2026, ngày càng tinh vi khi kết hợp lừa đảo tâm lý với việc tận dụng chính công cụ hợp pháp trong hệ thống.
​

​

Kịch bản tấn công bắt đầu khi người dùng vô tình mở tệp VBS được gửi qua WhatsApp. Khi thực thi, mã độc tạo thư mục ẩn trong đường dẫn “C:\ProgramData” và thả vào đó các công cụ Windows đã bị đổi tên, như “curl.exe” hoặc “bitsadmin.exe”, nhằm ngụy trang hoạt động độc hại dưới dạng tiến trình hợp lệ.

Điểm nguy hiểm nằm ở việc kẻ tấn công không cần cài đặt phần mềm lạ ngay từ đầu, mà tận dụng sẵn công cụ có trong hệ điều hành, một kỹ thuật thường gọi là “sống nhờ tài nguyên hệ thống”. Điều này khiến việc phát hiện trở nên khó khăn hơn vì lưu lượng và hành vi trông giống hoạt động bình thường.
​

Sau khi xâm nhập ban đầu, mã độc tiếp tục tải thêm các thành phần khác từ các dịch vụ đám mây phổ biến như AWS, Tencent Cloud hay Backblaze. Việc sử dụng hạ tầng hợp pháp giúp che giấu nguồn phát tán và tăng khả năng vượt qua các lớp bảo mật mạng.

Tiếp theo, mã độc tìm cách vượt qua cơ chế kiểm soát tài khoản người dùng (UAC), lớp bảo vệ quan trọng của Windows. Nó liên tục thử chạy lệnh với quyền quản trị, đồng thời chỉnh sửa khóa Registry để duy trì quyền kiểm soát lâu dài. Khi thành công, hệ thống sẽ bị cài đặt các gói MSI độc hại, thậm chí có thể bao gồm cả công cụ truy cập từ xa như AnyDesk để duy trì kết nối với kẻ tấn công.

Chiến dịch này cho thấy sự kết hợp nguy hiểm giữa lừa đảo người dùng, ngụy trang tinh vi và khai thác hạ tầng hợp pháp. Người dùng cần đặc biệt cảnh giác với tệp nhận qua ứng dụng nhắn tin, kể cả từ nguồn quen biết, và không nên mở các tệp lạ khi chưa xác minh.
​

Theo The Hacker News​