Hãng bảo mật Kaspersky vừa phát hiện một làn sóng lây nhiễm mã độc mới. Sau khi nhấp vào liên kết lừa đảo trong email, hệ thống của người dùng ngay lập tức bị xâm nhập, ngay cả khi người đó không thực hiện thêm bất cứ thao tác nào.
Qua phân tích, Kaspersky xác nhận cuộc tấn công đang khai thác một lỗ hổng chưa từng được phát hiện trong phiên bản Chrome mới nhất tại thời điểm đó. Lập tức, đội ngũ Kaspersky đã cảnh báo cho nhóm bảo mật của Google. Kết quả, bản vá bảo mật cho lỗ hổng này đã được phát hành vào ngày 25/3/2025 vừa qua.
Các lỗ hổng zero-day là cực kỳ nguy hiểm. (Ảnh minh họa)
Kaspersky đặt tên cho chiến dịch này là “Operation ForumTroll”, bởi kẻ tấn công thông qua hình thức gửi email mời nạn nhân tham dự diễn đàn “Primakov Readings”. Các mục tiêu chính bao gồm cơ quan truyền thông, tổ chức giáo dục và cơ quan chính phủ tại Nga. Tinh vi hơn, các liên kết độc hại chỉ tồn tại trong thời gian ngắn nhằm tránh bị phát hiện. Và trong đa số trường hợp, các liên kết sẽ chuyển hướng đến trang web hợp pháp của Primakov Readings nhằm che giấu dấu vết sau khi hoàn tất quá trình lừa đảo.
Ông Boris Larin - Trưởng nhóm các nhà nghiên cứu bảo mật tại GReAT của Kaspersky cho biết: "Lỗ hổng này đặc biệt nguy hiểm hơn so với hàng chục lỗ hổng zero-day mà chúng tôi từng phát hiện trong nhiều năm qua. Kẻ tấn công khai thác lỗ hổng này để vượt qua cơ chế bảo vệ sandbox của Chrome mà không cần thực hiện bất kỳ hành vi rõ ràng nào, như thể hệ thống bảo mật của trình duyệt gần như không tồn tại".
"Nhìn vào mức độ tinh vi đó, có thể thấy phương thức tấn công này được phát triển bởi những nhóm tội phạm mạng có trình độ cao và nguồn lực lớn. Chúng tôi khuyến cáo tất cả người dùng nên cập nhật Google Chrome và các trình duyệt sử dụng nền tảng Chromium lên phiên bản mới nhất để tránh nguy cơ bị tấn công", Larin cảnh báo.
Trước đó, nhóm GReAT của Kaspersky cũng đã phát hiện một lỗ hổng zero-day khác trên Chrome (CVE-2024-4947). Lỗ hổng này từng bị nhóm APT Lazarus khai thác trong chiến dịch trộm cắp tiền điện tử. Thời điểm đó, các nhà nghiên cứu của Kaspersky phát hiện một lỗi “type confusion” trong công cụ V8 JavaScript của Chrome, cho phép tin tặc vượt qua cơ chế bảo mật thông qua một trang web giả mạo về tiền điện tử.
Qua đây, các chuyên gia bảo mật của Kaspersky khuyến nghị người dùng Internet luôn cập nhật hệ điều hành và trình duyệt web - đặc biệt là Google Chrome, để tránh trường hợp tội phạm mạng tấn công thông qua các lỗ hổng bảo mật mới.
