Giới thiệu
Trong năm 2025, một chiến dịch tấn công mạng nguy hiểm mang tên Oyster (còn gọi là Broomstick hoặc CleanUpLoader) đã được phát hiện, lợi dụng kỹ thuật SEO poisoning và malvertising để phát tán phần mềm độc hại ngụy trang dưới dạng công cụ IT phổ biến
1. Hàng nghìn người dùng, đặc biệt là trong các doanh nghiệp nhỏ và vừa (SMB), đã trở thành nạn nhân chỉ trong vài tháng đầu năm.
Cách thức hoạt động của mã độc Oyster
1. Giả mạo công cụ IT phổ biến
Tin tặc tạo ra các trang web giả mạo để lừa người dùng tải về các phần mềm quen thuộc như:
- PuTTY
- WinSCP
- FileZilla
Thực chất, các phần mềm này đã bị cài mã độc Oyster. Khi cài đặt, Oyster sẽ âm thầm kích hoạt một tác vụ theo lịch trình, cứ 3 phút lại chạy tập tin độc hại twain_96.dll thông qua rundll32.exe, giúp mã độc duy trì sự tồn tại lâu dài trên thiết bị
2. Phát tán qua quảng cáo độc hại (Malvertising)
Chiến dịch còn sử dụng quảng cáo Google có tài trợ và Facebook Ads giả mạo để dẫn người dùng đến các trang lừa đảo. Các quảng cáo này giả danh:
- Trang hỗ trợ kỹ thuật của Apple, Microsoft, Facebook, PayPal
- Các công cụ AI như Midjourney, ChatGPT, DALL-E, Sora AI
Người dùng bị dụ tải về tập tin ZIP chứa mã độc, thường là bản cài đặt NSIS nặng tới 800MB, nhằm qua mặt hệ thống phát hiện
Các biến thể mã độc liên quan
Ngoài Oyster, chiến dịch còn phát tán các mã độc khác như:
- Vidar Stealer
- Lumma Stealer
- Legion Loader
- Poseidon Stealer (macOS)
- PayDay Loader (Windows)
Các mã độc này có khả năng đánh cắp thông tin đăng nhập, dữ liệu ví tiền điện tử, và thông tin nhạy cảm từ trình duyệt
Cảnh báo và khuyến nghị
Các chuyên gia bảo mật khuyến cáo:
- Không tải phần mềm từ nguồn không chính thức
- Kiểm tra kỹ URL trước khi tải
- Cài phần mềm diệt virus cập nhật thường xuyên
- Tránh nhấp vào quảng cáo có dấu hiệu bất thường