Elastic Security Labs details REF6045, a Mexican banking fraud operation deploying SCMBANKER — a PowerShell toolkit delivered via ClickFix fake-CAPTCHA pages. Once installed, the operator-assisted toolkit enables banking session monitoring, vishing overlays, browser redirects to phishing pages, clipboard hijacking of CLABE account numbers and card numbers, screenshot capture, keylogging, and silent installation of Remote Utilities for full remote access. The toolkit shows strong signs of AI-assisted development: LLM-generated code artifacts including heavy banner comments, self-documenting obfuscation, and profanity-laced comments in sensitive modules suggest the operator prompted a Spanish-language LLM for most functional scripts. Significant OPSEC failures — open directories, an exposed full web-root archive, and an unauthenticated file editor — allowed full recovery of the operation's tooling. The post includes MITRE ATT&CK mappings, IOCs, and Elastic detection rules.
Nguồn: https://www.elastic.co/security-labs/mexican-banking-fraud-scmbanker-ref6045. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Google, FBI và IRS đã triệt phá botnet NetNut, một mạng proxy dân cư chiếm dụng hơn 2 triệu thiết bị thông minh (smart TV, hộp streaming, Android). NetNut được Alarum Technologies (công ty Israel niêm yết Nasdaq) bán dưới dạng dịch vụ thương mại, bị 316 nhóm tội phạm lợi dụng để tấn công password spraying, gian lận quảng cáo, thu thập dữ liệu và chiếm tài khoản. Google vô hiệu hóa hạ tầng tài khoản Google của NetNut, FBI tịch thu hàng trăm tên miền liên quan, trong khi phát hiện 20% ứng dụng Samsung Tizen và 42% ứng dụng LG webOS chứa SDK proxy trái phép. Các thiết bị nhiễm còn mang biến thể DDoS Mirai và liên quan đến botnet Android Badbox 2.0. Google cho biết đây là "sự suy giảm đáng kể" chứ không phải xóa sổ hoàn toàn do các nhà cung cấp proxy chia sẻ tài nguyên.
Lập trình viên nên đọc bài này để hiểu cách các botnet như NetNut lây lan qua các ứng dụng không rõ nguồn gốc trên thiết bị IoT và Android, và cách các công ty như Google và FBI đối phó, giúp cảnh báo về nguy cơ bảo mật trong ứng dụng và hệ thống của riêng bạn.
Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.
Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.
OpenAI's tính năng nén ngữ cảnh native giảm tới ~86% lượng token đầu vào mà không ảnh hưởng đáng kể đến chất lượng tổng thể trong phân tích malware tự động, dù mô hình hóa đối tượng miền có giảm nhẹ. Bài viết phân biệt rõ memory làm việc (xử lý bởi nén ngữ cảnh) và storage bền vững (lưu trữ artifacts chính xác), đồng thời hướng dẫn sử dụng hai kiểu API nén (server-side và standalone) kèm ví dụ code, nhấn mạnh tầm quan trọng của "context engineering" trong workflow bảo mật agentic lâu dài.
Những lập trình viên phát triển hệ thống an ninh tự động cần đọc để tối ưu hóa hiệu suất và độ chính xác của các agent AI trong phân tích malware bằng cách hiểu cách điều khiển bộ nhớ và ngữ cảnh hiệu quả, từ đó giảm chi phí tính toán và bảo đảm chất lượng kết quả.
Các nhà nghiên cứu của Mozilla 0DIN phát hiện ra cách tấn công tinh vi khiến các AI coding agent như Claude Code vô tình chạy malware từ kho GitHub sạch. Kẻ tấn công sử dụng ba thành phần hợp pháp: kho chứa tiêu chuẩn, gói Python gây lỗi và hướng dẫn chạy lệnh init, cùng script init tải payload từ record DNS TXT do kẻ tấn công kiểm soát. AI agent tự động sửa lỗi sẽ vô tình kích hoạt toàn bộ chuỗi tấn công, tạo ra reverse shell với quyền của nhà phát triển.
Lập trình viên nên đọc bài này để hiểu cách các công cụ AI tự động hóa có thể bị lừa bằng các kỹ thuật social engineering nhẹ nhàng trong mã nguồn, từ đó bảo vệ dự án của mình khỏi các cuộc tấn công không trực tiếp mà vẫn có thể gây thiệt hại nghiêm trọng.
Kaspersky ICS CERT's Q1 2026 threat report shows malicious objects were blocked on 19.6% of ICS computers globally — the lowest figure in three years. Regionally, Africa had the highest rate (27.4%) while Northern Europe had the lowest (9.1%). Southern Europe and Russia saw notable increases across multiple threat categories including spyware, internet threats, and email-delivered malware. Biometric systems consistently ranked as the most-targeted industry, with 26.4% of computers affected and email threats exceeding internet threats in that sector. Ransomware hit a record low of 0.14%, while malicious scripts and phishing pages remained the top threat category at 6.56%. Malware from 10,052 distinct families was blocked across industrial automation systems during the quarter. Key regional hotspots include Southeast Asia for internet-sourced threats and viruses, and Central Asia/South Caucasus for ransomware in oil, gas, and manufacturing.
Attackers are impersonating IT helpdesk staff on Microsoft Teams to trick employees into granting remote access to their machines, then deploying the EtherRAT remote access trojan. The campaign, uncovered by Palo Alto Networks' Unit 42, highlights the growing abuse of legitimate collaboration platforms for social engineering attacks.
Opera vừa ra mắt tính năng Paste Protect nhằm ngăn chặn các cuộc tấn công ClickFix, khi kẻ xấu lừa người dùng sao chép lệnh độc hại vào clipboard rồi thực thi trong terminal. Tính năng này kết hợp bảo vệ Hijack sẵn có với thành phần Injection Protection mới để quét nội dung clipboard trên Windows, macOS và Linux, chặn sao chép nếu phát hiện nguy hiểm, hiển thị cảnh báo và cho phép người dùng xem trước hoặc phê duyệt sau 5 giây.
Lập trình viên nên đọc bài này vì biết cách bảo vệ mã nguồn và dữ liệu của dự án khỏi các tấn công clipboard độc hại, như ClickFix, bằng cách hiểu cách Opera bảo vệ chống lại các cuộc tấn công này và cách triển khai tính năng tương tự trong ứng dụng của riêng mình.
Gen Threat Labs has identified an active SilverFox campaign deploying ValleyRAT through an eight-stage infection chain targeting Windows systems. The attack begins with DLL side-loading via trojanized installers, uses steganography to hide payloads in PNG images, and employs the Donut loader for in-memory shellcode execution. A Go-based RAT communicates over WebSocket and QUIC, injects an AV-killer into svchost, and ultimately installs a kernel-level rootkit supporting over 65 command codes. The malware also steals cryptocurrency wallet addresses via clipboard hijacking, targets Telegram data, and uses polymorphic recompilation with daily file path rotation to evade static detection. CISOs are advised to monitor for DLL side-loading, hunt post-exploitation patterns like unusual named pipes and QUIC traffic, and treat confirmed rootkit infections as high-severity events requiring full reimaging.