Lỗ hổng được định danh là CVE-2026-20253, có điểm CVSS 9,8/10 gần mức tối đa trong thang đánh giá mức độ nghiêm trọng. Theo Splunk và các nhà nghiên cứu bảo mật, lỗi tồn tại trong thành phần PostgreSQL sidecar service của Splunk Enterprise do cơ chế xử lý request HTTP không kiểm tra xác thực đúng cách. Điều này khiến kẻ tấn công từ xa có thể gửi request độc hại để tạo hoặc ghi đè file tùy ý trên hệ điều hành phía dưới mà không cần tài khoản đăng nhập.

Điểm đáng lo ngại là lỗ hổng không yêu cầu tương tác người dùng, không cần quyền admin và có thể bị khai thác từ xa nếu hệ thống Splunk mở ra mạng nội bộ hoặc Internet. Theo phân tích của Orca Security, kẻ tấn công có thể lợi dụng khả năng ghi file để chèn mã độc, phá hủy dữ liệu hoặc từng bước leo thang thành thực thi mã từ xa.​

Vì sao lỗ hổng này đặc biệt nguy hiểm?​

Splunk là nền tảng được sử dụng rộng rãi trong các trung tâm SOC, hệ thống SIEM, giám sát log, phân tích bảo mật và vận hành hạ tầng CNTT. Nhiều doanh nghiệp lớn, ngân hàng, cơ quan chính phủ và tổ chức tài chính sử dụng Splunk để thu thập và xử lý log từ toàn bộ hệ thống nội bộ.

Điều này đồng nghĩa nếu một máy chủ Splunk bị chiếm quyền, hacker có thể:​

Trong nhiều môi trường doanh nghiệp, Splunk còn được kết nối trực tiếp với Active Directory, firewall, cloud và hệ thống endpoint, khiến mức độ ảnh hưởng có thể lan rộng toàn hạ tầng.​

Không chỉ một lỗ hổng​

Ngoài CVE-2026-20253, Splunk còn vá thêm nhiều lỗi nghiêm trọng khác trong đợt cập nhật lần này.

Một trong số đó là CVE-2026-20251, điểm CVSS 8,8, ảnh hưởng tới ứng dụng Splunk Secure Gateway. Lỗ hổng này cho phép người dùng có quyền thấp thực hiện deserialization dữ liệu không an toàn thông qua thư viện jsonpickle, từ đó dẫn tới thực thi mã từ xa.

Ngoài ra còn có:​

Các lỗi này có thể bị kết hợp thành chuỗi tấn công phức tạp nhằm xâm nhập sâu hơn vào mạng nội bộ doanh nghiệp.​

Phiên bản nào bị ảnh hưởng?​

Theo Splunk, các phiên bản bị ảnh hưởng gồm:​

Splunk đã phát hành bản vá cho các phiên bản:​

và các bản cập nhật tương ứng cho Splunk Cloud Platform cùng Secure Gateway App.​

Đã có khai thác thực tế chưa?​

Hiện Splunk cho biết chưa phát hiện dấu hiệu bị khai thác ngoài thực tế. Tuy nhiên, giới nghiên cứu cảnh báo nguy cơ khai thác sẽ tăng mạnh vì mã PoC và phân tích kỹ thuật đã bắt đầu xuất hiện công khai.

Trong giới an ninh mạng, các lỗ hổng “không cần xác thực” trên nền tảng doanh nghiệp thường bị vũ khí hóa rất nhanh, đặc biệt với những hệ thống phổ biến như Splunk.​

Các chuyên gia khuyến nghị gì?​

Các chuyên gia bảo mật khuyến nghị quản trị viên cần cập nhật Splunk khẩn cấp, đặc biệt với các hệ thống có thể truy cập qua mạng hoặc Internet.

Ngoài việc vá lỗi, doanh nghiệp nên:​

Đối với CVE-2026-20253, Splunk xác nhận hiện không có biện pháp giảm thiểu hoàn chỉnh ngoài cập nhật bản vá. Vụ việc tiếp tục cho thấy các nền tảng giám sát và bảo mật doanh nghiệp đang trở thành mục tiêu ưu tiên của tin tặc. Nếu trước đây hacker chủ yếu nhắm vào máy trạm hoặc email người dùng, thì hiện nay các hệ thống SIEM, quản lý log và giám sát hạ tầng như Splunk đang dần trở thành “cửa ngõ trung tâm” để chiếm quyền toàn bộ mạng doanh nghiệp.​

​

Các chuyên gia từ Socket vừa công bố kết quả phân tích về một chiến dịch quy mô lớn trên Chrome Web Store, liên quan đến 152 tiện ích mở rộng Chrome được quảng bá dưới dạng hình nền động (live wallpaper). Dù được giới thiệu là công cụ cá nhân hóa trình duyệt, các tiện ích này lại ghi nhận dữ liệu người dùng và thao túng hệ thống đo lường truy cập nhằm tạo doanh thu quảng cáo.

Theo báo cáo, toàn bộ mạng lưới được xây dựng từ cùng một bộ mã nguồn nhưng được phát hành thông qua 38 tài khoản nhà phát triển khác nhau dưới các thương hiệu như tabplugins.com, yowgames.com và chromewallpaper.com. Các tiện ích thường sử dụng những chủ đề phổ biến như anime, bóng đá, trò chơi điện tử hay ô tô để thu hút người dùng cài đặt. Tổng số lượt cài đặt được ghi nhận khoảng 105.000, dù con số thực tế có thể cao hơn do cơ chế thống kê của Chrome Web Store.

Trên Chrome Web Store, các tiện ích này đều khai báo không thu thập, chia sẻ hoặc bán dữ liệu người dùng. Tuy nhiên, nội dung trong chính sách quyền riêng tư lại cho thấy chúng ghi nhận nhiều thông tin như địa chỉ IP, nhà cung cấp dịch vụ Internet (ISP), loại trình duyệt, thời gian truy cập, số lần nhấp chuột và thông tin thiết bị. Dữ liệu sau đó được chia sẻ với các nền tảng quảng cáo và phân tích như Google AdSense, DoubleClick và Google Analytics.​

Thông tin sai lệch về quyền riêng tư (Nguồn: Socket)
​

Socket xác định 54 tiện ích trong mạng lưới sử dụng một cơ chế đặc biệt nhằm giả mạo lưu lượng truy cập đến từ Google Search. Ngay sau khi được cài đặt, service worker của tiện ích sẽ tự động mở một trang web do nhà điều hành kiểm soát với tham số “utm_source=google&utm_medium=organic”. Điều này khiến các công cụ phân tích ghi nhận lượt truy cập như thể người dùng vừa truy cập từ kết quả tìm kiếm tự nhiên trên Google.

Khi tiện ích bị gỡ bỏ, một cơ chế khác tiếp tục được kích hoạt. Tiện ích gửi yêu cầu tới một URL có cấu trúc gần như trùng khớp với liên kết chuyển hướng của Google Search, khiến các hệ thống đo lường khó phân biệt đâu là lưu lượng truy cập thật và đâu là lưu lượng được tạo ra một cách nhân tạo. Mục tiêu cuối cùng là biến hàng chục nghìn người dùng Chrome thành nguồn tạo lưu lượng truy cập cho các website do nhóm vận hành kiểm soát. Càng nhiều lượt cài đặt, mở hoặc gỡ bỏ tiện ích, các website này càng thu về nhiều “lượt truy cập Google” trên báo cáo phân tích, qua đó nâng cao giá trị quảng cáo và tạo thêm nguồn doanh thu từ hệ sinh thái tiếp thị trực tuyến.
​

Chính sách quyền riêng tư của các tiện ích thừa nhận việc thu thập địa chỉ IP, thông tin nhà cung cấp dịch vụ Internet (ISP) và dữ liệu lượt nhấp chuột để phục vụ các nền tảng quảng cáo của Google, trái ngược hoàn toàn với cam kết “không thu thập dữ liệu người dùng” trên Chrome Web Store.
​

Socket cũng phát hiện các tiện ích được tích hợp cơ chế tự động xóa toàn bộ cơ sở dữ liệu IndexedDB mỗi khi service worker khởi động. Mặc dù phiên bản hiện tại chưa sử dụng IndexedDB để lưu dữ liệu, sự hiện diện của chức năng này cho thấy khả năng xóa bỏ dữ liệu nội bộ hoặc các dấu vết hoạt động đã được chuẩn bị sẵn trong mã nguồn, gây thêm khó khăn cho quá trình phân tích và giám sát.

Các dấu vết hạ tầng cho thấy đây là một chiến dịch mang động cơ tài chính rõ ràng. Những website đứng sau mạng lưới tiện ích được tích hợp với nhiều nền tảng quảng cáo lớn như Google Ad Manager, Xandr/AppNexus, PixFuture và SmileWanted. Một số trang còn sử dụng công nghệ đấu giá quảng cáo theo thời gian thực (header bidding), cho phép bán cùng một lượt hiển thị quảng cáo cho nhiều nhà quảng cáo cạnh tranh nhằm tối đa hóa doanh thu.

Dù không chứa mã độc hay trực tiếp chiếm quyền điều khiển thiết bị, chiến dịch cho thấy các tiện ích mở rộng trên trình duyệt vẫn có thể trở thành công cụ thu thập dữ liệu và thao túng lưu lượng truy cập nếu không được kiểm soát chặt chẽ. Với hơn 100.000 lượt cài đặt được ghi nhận, vụ việc tiếp tục gióng lên hồi chuông cảnh báo về những rủi ro tiềm ẩn từ các tiện ích tưởng chừng vô hại trên Chrome Web Store. Các tổ chức cần đưa việc kiểm kê, đánh giá và giám sát extension trình duyệt vào quy trình quản trị an toàn thông tin, đặc biệt đối với những tiện ích được cài đặt rộng rãi trên hệ thống nội bộ nhưng có nguồn gốc hoặc mục đích hoạt động thiếu minh bạch.​

​

Bản cập nhật Stable Channel nâng Chrome lên phiên bản 149.0.7827.114/.115 trên Windows và macOS, đồng thời lên phiên bản 149.0.7827.114 trên Linux. Google cho biết quá trình triển khai đang được thực hiện theo từng giai đoạn và sẽ đến tay toàn bộ người dùng trong những ngày tới.

Đáng chú ý nhất trong đợt vá lần này là ba lỗ hổng use-after-free được ghi nhận trong các thành phần Core, DigitalCredentials và WebMIDI, được theo dõi với các mã CVE-2026-12007, CVE-2026-12008 và CVE-2026-12011. Đây là dạng lỗi xảy ra khi chương trình tiếp tục truy cập vào vùng nhớ đã được giải phóng, tạo điều kiện cho kẻ tấn công thao túng dữ liệu và can thiệp vào luồng thực thi của ứng dụng.

Google cũng khắc phục CVE-2026-12010, một lỗ hổng heap buffer overflow trong thành phần GPU, cùng CVE-2026-12009 liên quan đến việc xác thực dữ liệu đầu vào không đầy đủ trong thành phần Accessibility. Nếu bị khai thác thành công, các lỗ hổng này có thể cho phép tin tặc thực thi mã độc trên hệ thống thông qua những trang web được tạo đặc biệt, từ đó dẫn tới nguy cơ chiếm quyền kiểm soát thiết bị.

Bên cạnh các lỗ hổng nghiêm trọng, bản cập nhật còn khắc phục nhiều lỗ hổng mức độ cao trong các thành phần Network, Media, Autofill, GPU, Video, VideoCapture và Views. Phần lớn trong số này là các lỗ hổng use-after-free, đọc hoặc ghi dữ liệu ngoài phạm vi bộ nhớ được cấp phát và các lỗ hổng tràn bộ đệm. Đây đều là những dạng lỗ hổng thường xuyên xuất hiện trong các chuỗi khai thác trình duyệt hiện đại do khả năng dẫn tới hỏng bộ nhớ và thực thi mã tùy ý.

Google cũng khắc phục nhiều lỗ hổng liên quan đến việc xác thực dữ liệu đầu vào không đầy đủ trong DevTools, Extensions, Network và Linux Toolkit Theming. Ngoài ra, hãng còn xử lý các lỗ hổng thực thi chính sách không đúng trong DevTools và chế độ Headless, cùng một lỗ hổng tranh chấp điều kiện trong cơ chế Safe Browsing có thể ảnh hưởng đến khả năng bảo vệ người dùng trước các trang web độc hại.

Mặc dù hiện chưa ghi nhận dấu hiệu các lỗ hổng này đang bị khai thác ngoài thực tế, sự xuất hiện đồng thời của nhiều lỗi liên quan đến quản lý bộ nhớ làm gia tăng đáng kể nguy cơ xuất hiện mã khai thác trong thời gian tới. Trong nhiều năm qua, các lỗ hổng hỏng bộ nhớ vẫn là một trong những con đường phổ biến nhất để tin tặc vượt qua cơ chế bảo vệ của trình duyệt và giành quyền thực thi mã trên thiết bị mục tiêu. Để hạn chế nguy cơ bị lợi dụng, Google cho biết sẽ tiếp tục giới hạn việc công bố thông tin kỹ thuật chi tiết cho đến khi phần lớn người dùng hoàn tất cập nhật. Hãng cũng ghi nhận đóng góp từ các nhà nghiên cứu bảo mật bên ngoài cùng các nhóm bảo mật nội bộ trong quá trình phát hiện và khắc phục các lỗ hổng.

Theo Google, nhiều công cụ kiểm thử bảo mật như AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer và AFL tiếp tục đóng vai trò quan trọng trong việc phát hiện các lỗi hỏng bộ nhớ và các vấn đề bảo mật ngay từ giai đoạn phát triển phần mềm. Các chuyên gia khuyến nghị người dùng và tổ chức nhanh chóng cập nhật Chrome lên phiên bản mới nhất để giảm thiểu nguy cơ bị tấn công. Với việc trình duyệt web vẫn là một trong những mục tiêu phổ biến nhất của tội phạm mạng, việc chậm triển khai bản vá có thể tạo cơ hội cho các tác nhân đe dọa nghiên cứu và phát triển mã khai thác dựa trên những lỗ hổng vừa được công bố.​

Theo ghi nhận, sự cố bắt đầu xuất hiện vào khoảng 20h40 (giờ Việt Nam). Nhiều tài khoản Facebook bất ngờ bị đăng xuất khỏi ứng dụng và nhận thông báo “phiên làm việc đã hết hạn”. Khi cố gắng đăng nhập lại, người dùng liên tục gặp lỗi xác thực, không thể kết nối đến máy chủ hoặc bị báo sai mật khẩu dù thông tin đăng nhập hoàn toàn chính xác.

Không chỉ Facebook, ứng dụng Messenger cũng gặp tình trạng không thể gửi hoặc nhận tin nhắn. Trong khi đó, Instagram xuất hiện lỗi tải bảng tin, khiến người dùng không thể cập nhật nội dung mới.

Các báo cáo trên nhiều nền tảng theo dõi sự cố Internet cho thấy lượng phản ánh tăng đột biến trong thời gian ngắn, cho thấy đây có thể là một sự cố trên diện rộng chứ không phải lỗi cục bộ của từng tài khoản. Người dùng tại nhiều quốc gia như Thái Lan, Philippines, Canada, Na Uy và Mỹ cũng cho biết gặp hiện tượng tương tự.

Đến thời điểm hiện tại, Meta vẫn chưa công bố nguyên nhân chính thức. Một số người dùng cho biết khi truy cập các ứng dụng của Meta, hệ thống hiển thị thông báo đang xảy ra sự cố kỹ thuật và đội ngũ phát triển đang tiến hành khắc phục.

Chuyên gia WhiteHat khuyến cáo người dùng không nên vội thay đổi mật khẩu hoặc lo ngại tài khoản bị xâm nhập, bởi các dấu hiệu hiện nay cho thấy đây nhiều khả năng là lỗi hạ tầng hoặc hệ thống xác thực của Meta trên phạm vi toàn cầu.

Hiện tại Meta vẫn chưa phát đi thông báo chính thức về thời gian khôi phục hoàn toàn các dịch vụ.​

Theo Microsoft, lỗ hổng nằm trong Outlook Web Access (OWA), giao diện web cho phép người dùng truy cập hộp thư Exchange thông qua trình duyệt. Nguyên nhân bắt nguồn từ việc dữ liệu đầu vàokhông được xử lý và vô hiệu hóa đúng cách khi tạo nội dung trang web, tạo điều kiện cho các cuộc tấn công cross-site scripting (XSS).

Kẻ tấn công không cần xác thực hay sở hữu quyền truy cập trước vào hệ thống mục tiêu. Chỉ cần gửi một email được tạo đặc biệt và khiến nạn nhân mở thư thông qua OWA, mã JavaScript do tin tặc kiểm soát có thể được thực thi trong phiên đăng nhập hiện tại của người dùng. Sau khi khai thác thành công, kẻ tấn công có thể đánh cắp thông tin xác thực, chiếm quyền phiên làm việc, giả mạo thư điện tử hoặc thực hiện các hành động dưới danh nghĩa nạn nhân.

Microsoft cho biết các cuộc tấn công khai thác CVE-2026-42897 đã được ghi nhận trong thực tế, khiến lỗ hổng này được xếp vào nhóm cần ưu tiên xử lý khẩn cấp. Với điểm CVSS 8.1, CVE-2026-42897 ảnh hưởng đến tất cả các mức cập nhật của Exchange Server 2016, Exchange Server 2019 và Exchange Server Subscription Edition (SE). Dịch vụ Exchange Online trong Microsoft 365 hiện không nằm trong phạm vi tác động.

Khác với nhiều chiến dịch tấn công qua email thường dựa vào liên kết hoặc tệp đính kèm độc hại, CVE-2026-42897 lợi dụng trực tiếp cách OWA xử lý và hiển thị nội dung thư điện tử. Khi nạn nhân mở email được tạo đặc biệt, mã JavaScript của kẻ tấn công có thể được thực thi ngay trong phiên trình duyệt đang đăng nhập. Cách thức này giúp mã độc ẩn mình trong hoạt động thư điện tử thông thường, làm tăng nguy cơ bị bỏ sót bởi các cơ chế phát hiện truyền thống.

Trước việc lỗ hổng đã bị khai thác ngoài thực tế, Microsoft đã kích hoạt cơ chế bảo vệ khẩn cấp thông qua Exchange Emergency Mitigation Service (EM Service) trên các hệ thống Exchange được hỗ trợ. Dịch vụ này có khả năng tự động triển khai các biện pháp giảm thiểu mà không yêu cầu quản trị viên can thiệp ngay lập tức, giúp thu hẹp cửa sổ tấn công trong thời gian chờ cài đặt bản vá chính thức. Đối với các môi trường không kết nối Internet hoặc vận hành trong mạng nội bộ tách biệt, Microsoft cung cấp công cụ Exchange On-Premises Mitigation Tool (EOMT) để quản trị viên chủ động áp dụng các biện pháp bảo vệ trên từng máy chủ.

Hãng cũng đã phát hành bản vá bảo mật chính thức trong đợt cập nhật tháng 6/2026 cho các phiên bản Exchange được hỗ trợ. Microsoft khuyến nghị các tổ chức cài đặt bản vá sớm nhất có thể và tiếp tục duy trì các biện pháp giảm thiểu hiện có như một lớp bảo vệ bổ sung. Microsoft lưu ý rằng một số tính năng của OWA có thể bị ảnh hưởng sau khi áp dụng cơ chế giảm thiểu, bao gồm hiển thị hình ảnh nội tuyến, in lịch và một số chức năng liên quan đến lịch làm việc. Các hạn chế này dự kiến sẽ được loại bỏ sau khi hệ thống được cập nhật đầy đủ bản vá mới nhất.

Việc một lỗ hổng Exchange Server bị khai thác dưới dạng zero-day cho thấy máy chủ thư điện tử vẫn là mục tiêu có giá trị đối với các nhóm tấn công mạng. Các tổ chức đang vận hành Exchange Server nên khẩn trương rà soát hệ thống, triển khai bản vá và theo dõi các dấu hiệu bất thường để giảm nguy cơ bị xâm nhập.​

CVE-2026-46316 còn được biết đến với tên ITScape, tồn tại trong cơ chế vGIC-ITS (Interrupt Translation Service) của KVM, thành phần đảm nhiệm việc xử lý ánh xạ và phân phối ngắt trong môi trường ảo hóa ở cấp kernel. Vấn đề phát sinh từ race condition trong quá trình quản lý tài nguyên, dẫn đến lỗi double-put và gây hỏng cấu trúc bộ nhớ trong không gian kernel của hệ thống host.

Khi khai thác thành công, kẻ tấn công từ bên trong máy ảo có thể thực thi mã trong ngữ cảnh kernel của máy chủ vật lý, đạt mức đặc quyền cao nhất trên hệ thống. Quyền truy cập này cho phép can thiệp trực tiếp vào hoạt động của host và tạo tiền đề cho các cuộc tấn công sâu hơn vào hạ tầng ảo hóa. Trong các hạ tầng cloud phục vụ nhiều khách hàng, việc chiếm quyền host có thể tạo bàn đạp để mở rộng phạm vi xâm nhập sang các hệ thống khác cùng vận hành trên một nền tảng phần cứng.

PoC được công bố cho thấy ITScape có thể bị khai thác hoàn toàn từ bên trong máy ảo mà không cần bất kỳ tương tác nào từ phía máy chủ. Trong môi trường thử nghiệm, mã khai thác thực hiện một loạt thao tác MMIO được thiết kế đặc biệt nhằm tác động đến cơ chế xử lý ngắt GIC/ITS của KVM, từ đó kích hoạt lỗi trong thành phần vGIC-ITS. Chuỗi khai thác sau đó dẫn đến thực thi mã trên hệ thống host và được xác nhận bằng việc tạo thành công một tệp tin thuộc quyền sở hữu của tài khoản root trên máy chủ.
​

Theo nhà nghiên cứu Hyunwoo Kim (V4bel), PoC hiện tại chưa được vũ khí hóa hoàn chỉnh nhưng có thể được điều chỉnh để phù hợp với các môi trường cloud thực tế thông qua việc tinh chỉnh tham số bộ nhớ, điều kiện thời gian và cấu trúc kernel. Điều này khiến khả năng khai thác trong thực tế trở nên khả thi hơn, đặc biệt trong các hạ tầng điện toán đám mây ARM64 đa người dùng.

Phạm vi ảnh hưởng của CVE-2026-46316 trải rộng từ các phiên bản Linux kernel được tích hợp commit từ tháng 4/2024 cho đến trước bản vá được phát hành vào đầu tháng 6/2026. Các hệ thống sử dụng KVM trên ARM64 và vận hành workload không tin cậy được đánh giá là nhóm chịu rủi ro cao nhất. Đáng chú ý, CVE-2026-46316 không ảnh hưởng đến kiến trúc x86, do chỉ tồn tại trong thành phần ảo hóa KVM dành riêng cho ARM64 trong Linux kernel.

Cộng đồng phát triển Linux kernel đã phát hành bản vá cho CVE-2026-46316 tại commit 13031fb6b835. Đối với các hệ thống KVM ARM64, việc rà soát phiên bản kernel đang sử dụng và ưu tiên triển khai bản vá cần được thực hiện sớm nhằm loại bỏ nguy cơ bị khai thác. Bên cạnh đó, các đơn vị vận hành nên tăng cường giám sát hoạt động của máy ảo và hạn chế triển khai workload không đáng tin cậy trên cùng hạ tầng vật lý cho đến khi quá trình cập nhật hoàn tất.

Việc công bố PoC đã mang đến bằng chứng rõ ràng rằng CVE-2026-46316 không chỉ là một lỗi kỹ thuật trong KVM. Với khả năng vượt khỏi máy ảo và can thiệp trực tiếp vào host, lỗ hổng này đang trở thành một trong những rủi ro đáng chú ý nhất đối với các hệ thống ARM64 sử dụng KVM hiện nay.

​Tuy nhiên, cùng với sự thuận tiện đó là những yêu cầu mới về ý thức sử dụng nội dung số, an toàn thông tin và tôn trọng bản quyền.

Những năm gần đây, công tác bảo vệ quyền sở hữu trí tuệ trên môi trường mạng tại Việt Nam được tăng cường rõ rệt. Nhiều website phát sóng bóng đá lậu đã bị xử lý, chặn truy cập hoặc buộc dừng hoạt động. Điều này cho thấy bản quyền thể thao không còn là câu chuyện riêng của đơn vị phát sóng mà đang trở thành một phần của văn hóa số hiện đại.

World Cup vốn là một trong những sự kiện thể thao có giá trị bản quyền lớn nhất thế giới. Tín hiệu truyền hình, hình ảnh trận đấu, clip highlight và nhiều nội dung liên quan đều được quản lý và cấp quyền khai thác theo từng thị trường.
​

​

VTV sở hữu bản quyền truyền thông FIFA World Cup 2026​

Người hâm mộ Việt Nam nên lưu ý:​

World Cup 2026 hứa hẹn tiếp tục mang đến những khoảnh khắc đáng nhớ. Nhưng bên cạnh đam mê bóng đá, lựa chọn nguồn nội dung hợp pháp và sử dụng Internet có trách nhiệm cũng đang trở thành một phần của văn hóa cổ vũ hiện đại.​

​

Theo phân tích từ ReversingLabs, nhiều chiến dịch tấn công đang được triển khai song song trên các nền tảng mạng xã hội, trong đó TikTok và Instagram Reels đóng vai trò như kênh phân phối nội dung ban đầu. Các tài khoản giả mạo được xây dựng theo hướng mô phỏng các trang chia sẻ kiến thức công nghệ, sử dụng tên gọi, hình ảnh đại diện và phong cách trình bày gần giống các kênh hướng dẫn hợp pháp nhằm giảm mức độ nghi ngờ từ người xem.

Nội dung video thường xoay quanh các chủ đề có tính hấp dẫn cao như kích hoạt Spotify Premium, mở khóa phần mềm bản quyền hoặc cài đặt công cụ AI và ứng dụng trả phí miễn phí. Thay vì dẫn trực tiếp tới tệp độc hại, các video được thiết kế theo dạng hướng dẫn từng bước, trong đó một số trường hợp yêu cầu người dùng sao chép và thực thi lệnh hệ thống trên Windows, bao gồm cả PowerShell hoặc các đoạn lệnh tải từ xa. Đáng chú ý, toàn bộ phần trình bày được dàn dựng khá hoàn chỉnh với giọng đọc tạo bằng AI, kết hợp cùng giao diện màn hình thao tác giống môi trường Windows thật, khiến chuỗi hướng dẫn có độ tin cậy cao nếu chỉ quan sát bề mặt. Khi người dùng thực hiện theo các bước này, quá trình tải mã độc diễn ra âm thầm mà không cần tương tác thêm, làm giảm khả năng phát hiện trong giai đoạn đầu của tấn công.​

Hình ảnh một video dụ người dùng với 1.699 lượt lưu, 1.581 lượt thích và 974 lượt chia sẻ, cùng hơn 109.000 lượt xem
Nguồn: ReversingLabs​

Các chiến dịch này khai thác trực tiếp cơ chế đề xuất nội dung của TikTok và Instagram Reels để đẩy mạnh khả năng lan truyền. Khi một video bắt đầu thu hút tương tác ban đầu, hệ thống phân phối tự động có xu hướng mở rộng phạm vi hiển thị, khiến nội dung nhanh chóng xuất hiện trên nhiều nguồn đề xuất khác nhau mà không cần quảng cáo trả phí. Nhờ cách vận hành này, các video độc hại có thể đạt mức tiếp cận lớn trong thời gian ngắn, với hàng chục nghìn đến hàng trăm nghìn lượt xem cùng lượng thích, chia sẻ và bình luận cao. Những tín hiệu tương tác này tạo ra một lớp “bảo chứng xã hội” tự nhiên, khiến người dùng mặc định nội dung là đáng tin cậy vì được nhiều người theo dõi và phản hồi. Khi hiệu ứng lan truyền được khuếch đại, ranh giới giữa nội dung hướng dẫn hợp pháp và nội dung độc hại trở nên mờ đi, làm giảm đáng kể khả năng người dùng nhận diện rủi ro ngay từ bước đầu tiếp xúc.

Hai phương thức tấn công chính được ghi nhận trong các chiến dịch này, đều dựa trên việc biến nội dung video hướng dẫn thành điểm khởi đầu cho quá trình cài đặt mã độc trên thiết bị nạn nhân.​

Một số hạ tầng liên quan được ghi nhận bao gồm các tên miền pluginchad[.]xyz, maxapk[.]xyz, d4ug[.]site cùng nhiều máy chủ khác được sử dụng để phân phối tải độc hại và hỗ trợ chuyển hướng người dùng đến các tệp cài đặt giả mạo. Song song với đó, các tài khoản mạng xã hội trong chiến dịch thường được xây dựng theo hướng mô phỏng thương hiệu hoặc kênh hướng dẫn kỹ thuật, với tên gọi và hình ảnh đại diện gần giống các nguồn chính thống như windows tips hoặc windows insights, nhằm tạo cảm giác quen thuộc và giảm mức độ cảnh giác của người xem.

Vidar Stealer, mã độc được sử dụng trong các chiến dịch này, là một loại infostealer đã xuất hiện trong thời gian dài và liên tục được cập nhật để tăng khả năng né tránh cơ chế phát hiện. Dưới mô hình malware as a service, công cụ này được thương mại hóa rộng rãi với mức chi phí khoảng 300 USD, cho phép nhiều nhóm tội phạm mạng không cần năng lực kỹ thuật cao vẫn có thể triển khai các chiến dịch đánh cắp dữ liệu quy mô lớn. Cơ chế vận hành của các video độc hại cũng dựa mạnh vào hiệu ứng tương tác trên mạng xã hội. Lượt xem, lượt thích và bình luận được khai thác như một yếu tố tạo dựng độ tin cậy xã hội, khiến nội dung trông giống các video hướng dẫn hợp pháp. Nhiều trường hợp ghi nhận video đạt từ hàng chục nghìn đến hơn một trăm nghìn lượt xem trước khi bị phát hiện và gỡ bỏ khỏi nền tảng.
​

Tài khoản người dùng được xác định có liên quan đến hoạt động phát tán mã độc với biểu tượng vương miện màu xanh trên nền trắng
Nguồn: ReversingLabs​

Khả năng phản ứng từ phía các nền tảng hiện chưa theo kịp tốc độ lan truyền của những chiến dịch này, tạo ra khoảng trống đủ lớn để nội dung độc hại tiếp tục tồn tại trên hệ thống. Một số tài khoản sau khi bị người dùng báo cáo vẫn duy trì hoạt động trong thời gian nhất định và tiếp tục đăng tải video mới hoặc điều hướng người xem sang các liên kết bên ngoài. Song song đó, các bình luận mang tính cảnh báo từ cộng đồng thường bị xóa nhanh hoặc bị chặn hiển thị, làm suy yếu cơ chế tự cảnh báo giữa người dùng với nhau và khiến chuỗi lây lan khó bị gián đoạn kịp thời.

Sự dịch chuyển của phương thức tấn công sang các nền tảng video ngắn phản ánh cách tội phạm mạng đang tận dụng yếu tố niềm tin thị giác như một lớp che chắn mới. Thay vì dựa vào email lừa đảo hay các website giả mạo dễ bị nhận diện, nội dung độc hại được xây dựng dưới dạng video hướng dẫn kỹ thuật có hình thức tương tự các chia sẻ công nghệ hợp pháp. Khi được đặt trong dòng nội dung giải trí và học thuật ngắn, các video này dễ dàng hòa lẫn vào môi trường chung, khiến người xem khó đưa ra đánh giá chính xác về tính an toàn chỉ dựa trên hình thức bên ngoài.

Để giảm thiểu rủi ro từ các chiến dịch này, các tổ chức cần siết chặt kiểm soát quyền đặc quyền trên hệ thống, đồng thời hạn chế khả năng người dùng cuối thực thi các công cụ có thể chạy lệnh như PowerShell. Điều này giúp giảm nguy cơ các đoạn lệnh được hướng dẫn trong video mạng xã hội vô tình được thực thi và dẫn tới việc tải mã độc từ máy chủ bên ngoài. Cùng với đó, hoạt động đào tạo nhận thức an ninh cần được mở rộng ra ngoài các kênh truyền thống như email, để bao phủ cả những nền tảng video ngắn đang bị khai thác làm kênh phát tán nội dung độc hại. Người dùng cần được nhấn mạnh về việc nhận diện các tình huống rủi ro, đặc biệt là khi video yêu cầu thao tác hệ thống hoặc truy cập liên kết tải phần mềm không rõ nguồn gốc. Nguyên tắc quan trọng nhất vẫn là không thực thi bất kỳ lệnh hệ thống nào và không tải tệp từ các nguồn chia sẻ không chính thống trên mạng xã hội, bởi đây thường là điểm khởi đầu cho chuỗi cài đặt mã độc và đánh cắp dữ liệu.​