Bạn có nghĩ rằng việc tải phần mềm từ Logitech - thương hiệu uy tín toàn cầu - là hoàn toàn an toàn? Chúng tôi phải báo tin xấu: tin tặc đã biến thứ tưởng chừng vô hại thành vũ khí tấn công 59 ngân hàng và sàn giao dịch tiền điện tử. Mã độc TCLBanker đang lan rộng với tốc độ đáng báo động, sử dụng bản cài đặt giả mạo của Logitech AI Prompt Builder để đánh lừa nạn nhân. Điều đáng lo ngại hơn cả là khả năng tự lan truyền qua WhatsApp và Outlook - hai ứng dụng quen thuộc nhất với người dùng Việt Nam.

Khi phần mềm 'chính hãng' trở thành cạm bẫy chết người

TCLBanker không phải mã độc bình thường mà chúng tôi thường thấy. Nó được đóng gói trong file MSI installer (định dạng cài đặt Windows) có chữ ký số hợp lệ, tạo cảm giác tin cậy tuyệt đối cho nạn nhân. Khi người dùng tải và chạy file cài đặt Logitech AI Prompt Builder giả mạo, trojan sẽ âm thầm hoạt động ngầm mà không gây nghi ngờ. Đây chính là điều làm TCLBanker trở nên cực kỳ nguy hiểm.

Theo phân tích của các chuyên gia bảo mật, mã độc này nhắm vào 59 nền tảng tài chính khác nhau, bao gồm các ngân hàng truyền thống, ứng dụng fintech và sàn giao dịch cryptocurrency. Chúng tôi đặc biệt lo ngại khi thấy danh sách này có thể bao gồm cả các ngân hàng và ví điện tử phổ biến tại Việt Nam. Một khi xâm nhập thành công, TCLBanker có thể đánh cắp thông tin đăng nhập, mã OTP và thậm chí thực hiện giao dịch trái phép.

Cơ chế lan truyền 'tự động' qua mạng xã hội

Điểm đáng sợ nhất của TCLBanker chính là khả năng tự nhân bản. Sau khi chiếm quyền kiểm soát một máy tính, mã độc sẽ tự động gửi tin nhắn chứa link độc hại đến danh bạ WhatsApp và Outlook của nạn nhân. Điều này có nghĩa chỉ cần một người trong công ty bị nhiễm, toàn bộ đồng nghiệp và đối tác kinh doanh đều có thể trở thành mục tiêu tiếp theo. Tốc độ lan truyền theo cấp số nhân này giải thích vì sao các chuyên gia gọi đây là 'siêu mã độc'.

Chúng tôi cho rằng đây là bước tiến nguy hiểm trong chiến thuật của tin tặc. Thay vì phụ thuộc vào email spam truyền thống, họ đã tận dụng mức độ tin tưởng cao mà người dùng dành cho tin nhắn từ bạn bè, đồng nghiệp. Khi nhận được link từ một liên hệ quen thuộc trên WhatsApp, rất ít người nghi ngờ đây có thể là cạm bẫy. Tỷ lệ click vào link độc hại từ nguồn 'tin cậy' cao gấp 5-7 lần so với email lạ.

Tác động nghiêm trọng đối với hệ thống tài chính

Với 59 nền tảng tài chính trong tầm ngắm, TCLBanker có thể gây thiệt hại kinh tế khổng lồ. Chúng tôi ước tính nếu mỗi nạn nhân bị đánh cắp trung bình 50 triệu đồng, chỉ cần 1000 ca nhiễm thành công đã gây thiệt hại 50 tỷ đồng. Con số thực tế có thể cao hơn nhiều khi xem xét khả năng lan truyền viral và danh sách mục tiêu rộng lớn của mã độc này.

Đối với Việt Nam, nguy cơ đặc biệt nghiêm trọng vì tỷ lệ sử dụng WhatsApp và các ứng dụng ngân hàng di động đang tăng mạnh. Theo báo cáo của Ngân hàng Nhà nước, số lượng giao dịch thanh toán điện tử tại Việt Nam đã tăng 45% trong năm qua. Điều này đồng nghĩa với việc người dùng lưu trữ nhiều thông tin tài chính hơn trên thiết bị cá nhân, tạo cơ hội béo bở cho tin tặc.

Hướng dẫn bảo vệ khẩn cấp cho người dùng Việt Nam

Trước tiên, tuyệt đối không tải phần mềm từ nguồn không chính thức, kể cả khi có người quen giới thiệu qua WhatsApp hay email. Chỉ tải Logitech AI Prompt Builder từ website chính thức của Logitech hoặc Microsoft Store. Nếu đã cài đặt phần mềm này từ nguồn khác trong thời gian gần đây, hãy gỡ cài đặt ngay lập tức và chạy quét virus toàn hệ thống bằng Windows Defender hoặc phần mềm diệt virus uy tín.

Các doanh nghiệp cần thiết lập chính sách bảo mật nghiêm ngặt: cấm nhân viên cài đặt phần mềm tùy ý, kích hoạt tính năng Application Control trên Windows để chặn các file thực thi không được phép. Đặc biệt quan trọng, hãy giám sát hoạt động bất thường trên các tài khoản ngân hàng doanh nghiệp và thay đổi mật khẩu định kỳ. Chúng tôi khuyến nghị các CFO và kế toán trưởng nên xem xét tạm thời hạn chế quyền chuyển khoản online, chỉ thực hiện giao dịch quan trọng qua kênh truyền thống cho đến khi tình hình được kiểm soát.