Lumma Stealer, một trong những phần mềm đánh cắp thông tin phổ biến và nguy hiểm nhất trên thế giới, đã thể hiện khả năng phục hồi đáng kể sau cuộc triệt phá gần đây của Cục Điều tra Liên bang Mỹ (FBI) vào tháng 5. Bất chấp những nỗ lực của cơ quan chức năng, nhóm điều hành Lumma Stealer đã nhanh chóng triển khai lại hệ thống phân phối của họ, đồng thời áp dụng các kỹ thuật ẩn mình tinh vi hơn nhằm tránh bị phát hiện.

Các nhà nghiên cứu an ninh mạng từ Trend Micro đã ghi nhận sự gia tăng trở lại đáng kể trong số lượng tài khoản bị tấn công bằng Lumma Stealer trong giai đoạn từ tháng 6 đến tháng 7. Điều này cho thấy mối đe dọa từ phần mềm độc hại này không hề giảm bớt và vẫn đang là một công cụ mạnh trong tay các tội phạm mạng. Lumma Stealer hoạt động dựa trên mô hình malware-as-a-service (MaaS), cho phép các tội phạm mạng khác thuê hoặc mua dịch vụ của nó mà không cần có kiến thức kỹ thuật chuyên sâu. Điều này đã khiến cho phần mềm độc hại này trở nên phổ biến và nguy hiểm hơn.

Lumma Stealer có khả năng thu thập một lượng lớn dữ liệu nhạy cảm từ các hệ thống bị lây nhiễm, bao gồm thông tin đăng nhập, dữ liệu tài chính, dữ liệu trình duyệt và nhiều thông tin cá nhân quan trọng khác. Phần mềm độc hại này được phát tán thông qua nhiều kênh và chiến thuật lén lút, bao gồm việc sử dụng phần mềm bẻ khóa, tạo ra các trang web lừa đảo, sử dụng quảng cáo độc hại và tận dụng các chiến dịch trên mạng xã hội để lan truyền.

Trước mối đe dọa ngày càng tăng từ Lumma Stealer, các tổ chức cần chủ động hơn trong công tác tình báo mối đe dọa. Việc tăng cường hợp tác giữa ngành an ninh mạng và các cơ quan thực thi pháp luật là rất quan trọng để có thể theo dõi và cập nhật liên tục các biến thể mới của Lumma Stealer. Đồng thời, việc đào tạo nhân viên cách nhận biết và phòng tránh các mối đe dọa từ các chiến dịch Lumma Stealer đang hoạt động và đã biết đến cũng là một bước quan trọng trong việc bảo vệ tổ chức.

Đối với người dùng cá nhân và doanh nghiệp, việc nâng cao nhận thức về an ninh mạng và áp dụng các biện pháp bảo vệ dữ liệu là hết sức cần thiết. Một số biện pháp có thể được áp dụng bao gồm việc sử dụng phần mềm chống virus uy tín, thường xuyên cập nhật hệ điều hành và các ứng dụng, sử dụng mật khẩu mạnh và duy nhất cho mỗi tài khoản, cũng như sao lưu dữ liệu thường xuyên. Bằng cách chủ động và tích cực phòng ngừa, chúng ta có thể giảm thiểu rủi ro bị tấn công bởi Lumma Stealer và các phần mềm độc hại khác.

Để có thêm thông tin về Lumma Stealer và các biện pháp phòng ngừa, có thể tham khảo thêm tại các nguồn thông tin an ninh mạng uy tín như Trend Micro và các cơ quan chức năng liên quan.

Một loạt vụ tấn công mạng gần đây đã nhắm vào phần mềm quản lý tài liệu SharePoint của Microsoft, trong đó Cơ quan An ninh hạt nhân quốc gia Mỹ (NSA) là một trong những mục tiêu chính. Thông tin này đã được công bố sau khi các chuyên gia bảo mật phát hiện ra chiến dịch tấn công mạng có tên ‘ToolShell’, cho phép tin tặc chiếm quyền kiểm soát hoàn toàn hệ thống và cài đặt cửa hậu (backdoor) để truy cập lâu dài.

Mặc dù hệ thống của NSA bị xâm nhập, may mắn là không có dữ liệu mật hay thông tin nhạy cảm nào bị đánh cắp. Tuy nhiên, sự việc này đã làm dấy lên mối lo ngại về mức độ an toàn của các hệ thống thông tin quan trọng. Các cuộc tấn công này không chỉ giới hạn ở Mỹ, Đức và một số nước châu Âu khác cũng là mục tiêu của các cuộc tấn công này, chủ yếu nhắm vào các tổ chức sử dụng SharePoint trong các lĩnh vực như chính phủ, công nghiệp quốc phòng, ngân hàng và y tế.

Các chuyên gia bảo mật chỉ ra rằng sự phát triển của trí tuệ nhân tạo (AI) đã giúp tin tặc tạo ra các cuộc tấn công mạng tinh vi hơn. Một trong những phương thức tấn công phổ biến hiện nay là sử dụng email lừa đảo với nội dung tự nhiên giống như thật. Điều này đòi hỏi người dùng cần nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết để phòng tránh các cuộc tấn công mạng.

Để đối phó với những mối đe dọa này, các tổ chức và cá nhân cần chú trọng hơn vào việc bảo mật hệ thống thông tin của mình. Điều này bao gồm việc thường xuyên cập nhật phần mềm, áp dụng các biện pháp xác thực đa yếu tố, và đào tạo nhân viên về các kỹ năng nhận biết và phòng tránh lừa đảo qua email. Bên cạnh đó, việc đầu tư vào các giải pháp bảo mật thông tin và trí tuệ nhân tạo cũng có thể giúp tăng cường khả năng phòng thủ trước các cuộc tấn công mạng ngày càng tinh vi.

Như vậy, trong bối cảnh các cuộc tấn công mạng ngày càng trở nên tinh vi và đa dạng, việc nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết là hết sức quan trọng. thông qua việc chia sẻ thông tin và tăng cường hợp tác, các tổ chức và cá nhân có thể cùng nhau xây dựng một môi trường an toàn và bảo mật hơn cho hoạt động của mình.

Một nhà nghiên cứu bảo mật mới đây đã đưa ra cảnh báo rằng thế hệ phần mềm độc hại tiếp theo có thể đang ẩn náu trong chính các mô hình trí tuệ nhân tạo (AI), đặc biệt là trong các ứng dụng được người dùng tin tưởng. Theo chuyên gia bảo mật Hariharan Shanmugam, thay vì tập trung vào các cuộc tấn công tức thời bằng AI, mã độc có thể lặng lẽ ẩn náu trong các mô hình AI như công cụ Core ML của Apple.

Trong hội nghị bảo mật Black Hat USA 2025 vào ngày 7 tháng 8, ông Shanmugam sẽ trình bày nghiên cứu về cách các mô hình AI có thể bị ‘vũ khí hóa’ mà không cần đến lỗ hổng phần mềm. Vấn đề nằm ở chỗ phần lớn các công cụ bảo mật hiện nay không được thiết kế để quét sâu vào bên trong mô hình học máy hoặc thư viện AI, nơi mà mã độc có thể bị giấu kín trong hình ảnh hoặc tệp âm thanh.

Ông Shanmugam đã phát triển một framework tấn công có tên MLArc, sử dụng chính các thành phần học máy của Apple để thực hiện kiểm soát và ra lệnh (Command & Control – C2). Bằng cách tận dụng Core ML, Vision (xử lý ảnh) và AVFoundation (xử lý âm thanh), mã độc có thể ẩn mình dưới dạng dữ liệu hợp pháp, lọt qua mọi hệ thống kiểm tra và thậm chí được kích hoạt mà không để lại dấu vết nào rõ ràng.

Điều đáng lo ngại là những cuộc tấn công như vậy không cần bất kỳ lỗi nào trong hệ thống Apple hay ứng dụng AI. Thay vào đó, kẻ tấn công có thể phát hành một ứng dụng AI ‘trông có vẻ hợp pháp’, được lưu hành công khai trên các kho phần mềm, nhưng bên trong lại chứa mã độc giấu kín. Khi ứng dụng chạy, payload độc hại sẽ được thực thi hoàn toàn trong bộ nhớ, tránh xa mọi bộ quét truyền thống.

Ông Shanmugam cảnh báo rằng bất kỳ tổ chức nào cũng có thể trở thành nạn nhân nếu vô tình tích hợp một mô hình AI bị ‘nhiễm độc’. Đây là rủi ro nghiêm trọng trong chuỗi cung ứng phần mềm hiện đại, nơi AI ngày càng được dùng phổ biến trong ảnh, âm thanh, chatbot, và nhiều ứng dụng khác.

Ông gọi đây là một chiến thuật ‘nhóm đỏ’ nhằm giúp cộng đồng bảo mật nhận ra rằng mô hình AI không chỉ là dữ liệu thụ động, mà có thể trở thành kênh truyền tải dữ liệu nguy hiểm. Ông sẽ công bố các chỉ số xâm nhập (IoC) liên quan trong blog nghiên cứu của mình cùng thời điểm với buổi thuyết trình.

‘Thế hệ cấy ghép độc hại tiếp theo đang tìm nơi ẩn náu trong AI, và hiện tại chúng ta chưa đủ sẵn sàng để phát hiện,’ ông kết luận.