A new data-extortion group called Helix is targeting organizations using voice phishing (vishing), device code phishing, and MFA abuse to gain access to Microsoft 365 accounts and steal SharePoint data. Attackers impersonate managers via phone calls or caller ID spoofing to trick employees into device-code phishing schemes, then register a new MFA app for persistence before bulk-downloading SharePoint files. Researchers at ReliaQuest link Helix to the now-defunct BlackFile group and ShinyHunters based on shared infrastructure, social engineering tactics, and targeting patterns. Defensive recommendations include disabling device code authentication, restricting SharePoint access to managed devices, and blocking newly registered domains.
Nguồn: https://www.bleepingcomputer.com/news/security/new-helix-vishing-group-emerges-in-sharepoint-data-theft-attacks. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Một chiến dịch phishing giả mạo hơn 30 thương hiệu lớn như Adobe, Netflix, Coca-Cola và OpenAI nhằm nhắm vào chuyên gia marketing qua email phỏng vấn việc làm giả. Kẻ tấn công lợi dụng các nền tảng hợp pháp như PeopleForce và Salesforce Marketing Cloud để tạo chuỗi redirect lồng nhau, dẫn nạn nhân đến trang landing độc hại, nơi sử dụng kỹ thuật browser-in-the-browser (BitB) để hiển thị popup đăng nhập Google giả mạo, đánh cắp thông tin tài khoản. Chiến dịch đã hoạt động ít nhất 5 tháng, sử dụng tên và ảnh thật của nhà tuyển dụng để tăng độ tin cậy.
Lập trình viên nên đọc bài này để hiểu cách các cuộc tấn công phishing hiện đại sử dụng kỹ thuật browser-in-the-browser và chaining redirect để trộm mật khẩu Google, từ đó nâng cao kiến thức bảo mật cho ứng dụng web và hệ thống của mình.
Hai cuộc tấn công social engineering là ConsentFix và ClickFix lợi dụng các thao tác quen thuộc của người dùng để chiếm quyền tài khoản Microsoft 365 chỉ trong vài giây. ClickFix dụ nạn nhân thực thi lệnh do kẻ tấn công cung cấp thông qua phím tắt bàn phím, trong khi ConsentFix khai thác lỗ hổng OAuth bằng cách lôi kéo người dùng kéo liên kết callback localhost vào trình duyệt, chiếm lấy token phiên làm việc mà không cần mật khẩu hay vượt qua MFA. Đến đầu năm 2026, các hướng dẫn kỹ thuật chi tiết cùng mã nguồn và video hướng dẫn của ConsentFix đã được đăng công khai trên diễn đàn tội phạm mạng Nga, giúp giảm đáng kể rào cản thực hiện tấn công. Để phòng thủ, cần kết hợp nâng cao nhận thức người dùng và triển khai các biện pháp phát hiện kỹ thuật như giám sát hoạt động PowerShell bất thường hay đăng nhập phiên lạ.
Lập trình viên nên đọc bài này để hiểu cách các cuộc tấn công xã hội kỹ thuật số như ConsentFix và ClickFix exploit các quy trình làm việc thông thường của người dùng trong Microsoft 365, giúp họ phát triển các giải pháp bảo mật hiệu quả hơn, từ đó bảo vệ hệ thống và ứng dụng của mình trước các cuộc tấn công mới.
Năm 2026, những mối đe dọa mạng nguy hiểm bao gồm lừa đảo bằng AI, giọng nói deepfake, ransomware tống tiền kép, rủi ro từ cấu hình sai trên cloud, tấn công thiết bị di động, tái sử dụng mật khẩu, kỹ thuật xã hội tinh vi và tấn công chuỗi cung ứng. Để phòng tránh, người dùng nên sử dụng quản lý mật khẩu, bật xác thực đa yếu tố (MFA), cập nhật thiết bị thường xuyên và cẩn trọng khi nhấp vào liên kết.
Lập trình viên nên đọc bài này để hiểu cách bảo vệ hệ thống và ứng dụng của mình trước những mối đe dọa mới nổi từ AI, ransomware và các tấn công phức tạp, từ đó xây dựng các giải pháp bảo mật hiệu quả và phòng ngừa trước các cuộc tấn công trong tương lai.

AI-generated phishing attacks are rendering signature-based email security obsolete. By analyzing 5,000 malicious emails that bypassed existing defenses, StrongestLayer identified 36 evasion techniques across five categories with ~1,400 permutations. The core problem: the 25-year-old 'infect, capture, share' model depends on attackers reusing infrastructure and lures, but generative AI now makes every attack unique — no shared indicators, no downstream protection. The proposed replacement is a reasoning-based, synthetic-analyst approach using forensic collector agents that evaluate each message individually in real time rather than matching against known signatures. Examples include DocuSign impersonations via legitimate SendGrid infrastructure and CAPTCHA-shielded proxy pages that block automated inspection. The argument is that email security must shift from a pattern-matching problem to a reasoning problem.
Tin tặc nhóm O-UNC-066 (nhãn hiệu 'Pink') lừa đảo qua điện thoại (vishing) nhắm vào người dùng Microsoft 365, giả danh nhân viên IT để dụ truy cập trang giả mạo đăng ký passkey Entra. Chúng chiếm quyền tài khoản, trích xuất dữ liệu từ SharePoint/OneDrive và tống tiền nạn nhân qua trang web đe dọa. Chiến dịch khai thác tính năng đăng ký passkey hợp pháp của Microsoft ra mắt tháng 5/2025.
Lập trình viên nên đọc bài này để hiểu cách các kẻ tấn công lợi dụng cơ chế passkey của Microsoft 365 để xây dựng các trang giả mạo phishing, từ đó phát triển các công cụ tự động hóa (PHP-based) để trộm mật khẩu và mã MFA, giúp họ nhanh chóng chiếm quyền kiểm soát tài khoản và khai thác dữ liệu nhạy cảm.
Modern cybercriminals operate like profit-driven businesses with real overhead costs — infrastructure, hosting, ad spend, and API endpoints. Legacy digital risk protection tools play whack-a-mole by targeting individual URLs with DMCA notices, letting attackers pivot instantly at no cost. Upstream disruption is a different approach: instead of removing a single phishing page, it targets the entire operational infrastructure — registrar accounts, hosting pipelines, malicious API endpoints, and ad networks — simultaneously. By burning the attacker's sunk costs, you destroy their ROI and make targeting your brand economically unsustainable. The post concludes by promoting Doppel's agentic AI platform as an implementation of this upstream disruption strategy.
A new phishing-as-a-service (PhaaS) platform called Forg365 targets Microsoft 365 accounts using a combination of adversary-in-the-middle (AiTM) and device-code phishing techniques, with AI-assisted lure generation built directly into its dashboard. The platform includes a browser extension (ForgCookie) that silently refreshes Microsoft SSO cookies for persistent post-compromise access, keyword monitoring of compromised mailboxes, and anti-analysis features like AES-encrypted redirectors and sandbox detection. It leverages Amazon SES for email delivery, Cloudflare Pages for landing pages, and Gophish for campaign management. Defenders are advised to restrict device-code authentication, monitor Entra logs, and revoke all tokens if compromise is suspected.
Security firm Noma Labs discovered a prompt injection vulnerability in GitHub's Agentic Workflows, dubbed GitLost. By embedding plain-English instructions in a public repository issue, an attacker can trick the AI agent (backed by Claude or GitHub Copilot) into reading private repositories and posting their contents publicly. No coding skills or credentials are required. A single word like 'Additionally' was enough to bypass GitHub's guardrails. There is no code-level fix for prompt injection, and GitHub has not responded or added documentation warnings. Researchers compare the flaw to SQL injection — a systemic class of vulnerability rather than a one-off bug — highlighting the broader risk of agentic AI systems silently exfiltrating secrets.