Trong thời điểm trí tuệ nhân tạo (AI) trở thành chủ đề được quan tâm rộng rãi, nhiều nhóm tấn công mạng đã nhanh chóng khai thác sự chú ý này để phát tán mã độc và ransomware. Xu hướng này không còn giới hạn trong các nhóm APT (Advanced Persistent Threat) cao cấp – vốn đã sử dụng deepfake hoặc công cụ tạo nội dung giả mạo để lừa người dùng tải về mã độc – mà giờ đây đang được các nhóm tấn công quy mô nhỏ áp dụng rộng rãi.
Nếu như trong năm 2024, các nhóm APT (Advanced Persistent Threat) tiên tiến từng sử dụng deepfake và công cụ tạo nội dung AI để phát tán phần mềm độc hại, thì đến năm 2025, chiến thuật này đã lan rộng sang cả các nhóm tấn công nhỏ lẻ, hoạt động độc lập.
Theo báo cáo mới nhất từ Cisco Talos, các nhóm như CyberLock, Lucky_Gh0$t và một loại mã độc mới có tên Numero đều đang áp dụng cách tiếp cận này. Điều đáng lo ngại là các nhóm này không còn nhắm mục tiêu riêng lẻ mà đang tận dụng quảng cáo độc hại và thủ thuật SEO để xuất hiện trên top Google, khiến nạn nhân dễ dàng “sập bẫy”.
Giả mạo công cụ trí tuệ nhân tạo AI – chiêu trò lừa đảo mới
Nhóm tấn công có tên CyberLock đã tạo ra một website giả mạo (novaleadsai[.]com) rất giống với một trang cung cấp phần mềm AI hợp pháp. Tại đây, họ quảng cáo “gói dùng thử AI miễn phí 12 tháng”, nhưng thực chất là dẫn dụ người dùng tải xuống một tệp chứa mã độc ransomware.
Khi người dùng mở file, mã độc tự động mã hóa các tập tin trong máy tính, đổi tên chúng với phần đuôi .cyberlock. Sau đó, nạn nhân nhận được thông điệp yêu cầu trả 50.000 USD bằng tiền ảo Monero để lấy lại dữ liệu – một loại tiền rất khó lần dấu vết.
Đáng chú ý, để tăng độ tin cậy, nhóm này còn dùng hình ảnh từ các trang blog bảo mật có uy tín để làm nền cho máy tính bị nhiễm, khiến người dùng dễ hiểu nhầm rằng đây là một phần mềm hợp pháp.
Lucky_Gh0$t – phần mềm độc hại đội lốt ChatGPT
Một biến thể ransomware khác có tên Lucky_Gh0$t được phát hiện dưới hình thức một file cài đặt mang tên “ChatGPT 4.0 Full version – Premium.exe”. Khi giải nén, gói cài đặt này bao gồm cả các công cụ sử dụng trí tuệ nhân tạo mã nguồn mở do Microsoft phát hành, đi kèm với mã độc, nhằm tránh bị các phần mềm bảo mật phát hiện.
Sau khi được kích hoạt, Lucky_Gh0$t sẽ mã hóa các tệp nhỏ hơn 1.2GB bằng cách gắn thêm đuôi mở rộng ngẫu nhiên. Các tệp lớn hơn sẽ bị ghi đè bằng dữ liệu rác và xóa bỏ hoàn toàn. Người dùng nhận được một mã định danh và được yêu cầu liên lạc với tin tặc qua ứng dụng nhắn tin bảo mật Session để thương lượng tiền chuộc.
Numero – mã độc “vô hiệu hóa” hệ thống mà không mã hóa dữ liệu
Khác với hai trường hợp trên, Numero là một dạng phần mềm phá hoại (wiper) giả danh công cụ chỉnh sửa video bằng trí tuệ nhân tạo “InVideo AI”. Nó được đóng gói trong một file dropper chứa tập tin batch, VBScript và một file thực thi có tên wintitle.exe. Khi chạy, mã độc sẽ kích hoạt vòng lặp vô hạn khiến giao diện Windows bị “biến dạng” – tiêu đề cửa sổ, nút lệnh và nội dung bị thay thế bằng chuỗi số “1234567890”.
Mặc dù không mã hóa hay xóa dữ liệu, mã độc này khiến hệ thống trở nên không thể sử dụng, buộc người dùng phải khởi động lại hoặc cài đặt lại hệ điều hành. Việc các nhóm tấn công khai thác xu hướng trí tuệ nhân tạo để lừa đảo cho thấy người dùng – cả cá nhân lẫn doanh nghiệp – cần thận trọng hơn khi tải và sử dụng công nghệ trí tuệ nhân tạo mới. Thay vì tải từ các kết quả quảng cáo hoặc liên kết chia sẻ trên mạng xã hội, hãy chỉ sử dụng các phần mềm AI từ nguồn chính thức hoặc trang chủ của nhà phát triển.
Trí tuệ nhân tạo đang tạo nên làn sóng đổi mới trên toàn cầu, nhưng chính sự quan tâm quá mức và thiếu thận trọng của người dùng lại đang bị tội phạm mạng tận dụng một cách tinh vi. Việc giả mạo các công cụ trí tuệ nhân tạo để phát tán ransomware hay phá hoại hệ điều hành không chỉ dừng lại ở chiêu trò – mà đã trở thành một phương thức tấn công có hệ thống, có chiến lược và đang được nhân rộng.
CyberLock, Lucky_Gh0$t hay Numero chỉ là những cái tên đại diện cho một xu hướng nguy hiểm hơn: dùng sự tin tưởng của con người vào công nghệ để che giấu mối đe dọa. Nếu trước đây bạn từng nghĩ rằng chỉ các tổ chức lớn mới là mục tiêu của mã độc thì hiện tại, bất kỳ ai – cá nhân hay doanh nghiệp – cũng có thể trở thành nạn nhân chỉ sau một cú click vào phần mềm “AI miễn phí”.
Trong kỷ nguyên AI, bảo mật không còn là một lựa chọn, mà là một yêu cầu bắt buộc. Chuyên gia VSEC nhận định rằng sự phát triển bền vững trong an ninh mạng chỉ có thể đạt được khi chúng ta kết hợp thông minh giữa quy trình làm việc hiệu quả, kiến thức chuyên môn của con người và một chiến lược bảo mật toàn diện. Chỉ khi đó, chúng ta mới có thể tối ưu hóa lợi ích của trsi tuệ nhân tạo và bảo vệ an toàn thông tin trong bối cảnh đầy rẫy mối đe dọa hiện nay.
