Cofense Intelligence tiết lộ cách các tác nhân đe dọa lợi dụng Windows File Explorer và máy chủ WebDAV để vượt qua các biện pháp bảo mật trình duyệt và đẩy RAT đến các mục tiêu doanh nghiệp.
Các tác nhân đe dọa đã tìm ra cách gửi phần mềm độc hại trực tiếp vào các máy tính doanh nghiệp mà không cần qua trình duyệt web. Cofense Intelligence công bố các phát hiện vào ngày 25 tháng 2 năm 2026, tiết lộ một chiến dịch hoạt động sử dụng khả năng tích hợp của Windows File Explorer để kết nối với các máy chủ WebDAV từ xa. Chiến thuật này hoàn toàn bỏ qua cảnh báo tải xuống tiêu chuẩn của trình duyệt. Hầu hết người dùng không biết rằng File Explorer có thể truy cập các máy chủ internet.
WebDAV là một giao thức quản lý tệp dựa trên HTTP cũ. Hiện ít người sử dụng nó hơn. Nhưng Windows vẫn hỗ trợ nó một cách tự nhiên trong File Explorer, mặc dù Microsoft đã ngưng hỗ trợ tính năng này vào tháng 11 năm 2023. Khoảng cách giữa việc ngưng hỗ trợ và loại bỏ hoàn toàn chính là lối đi mà các kẻ tấn công đang lợi dụng.
Khi một Thư Mục Không Thực Sự Là Thư Mục
Theo báo cáo của Cofense Intelligence, số lượng chiến dịch bắt đầu xuất hiện vào tháng 2 năm 2024, sau đó tăng mạnh vào tháng 9 năm 2024. Từ đó đến nay, hoạt động vẫn tiếp tục. Các cuộc tấn công không giảm. 87% tất cả các Báo cáo Đe dọa Hoạt động liên quan đến chiến thuật này đều gửi nhiều trojan truy cập từ xa như XWorm RAT, Async RAT và DcRAT.
Phải Đọc: Bảo Mật Tiền Điện Tử Bị Xâm Phạm: Các Cuộc Tấn Công Tháng 1 Tổng Giao Dịch 86 Triệu USD, Lừa Đảo Qua Email Tăng Vọt
Chi Tiết Cách Thủ Thuật Hoạt Động
Các nạn nhân nhận được email lừa đảo, thường giả dạng hóa đơn bằng tiếng Đức. Các email này chứa các tệp rút gọn URL (.url) hoặc tệp rút gọn LNK (.lnk). Cả hai đều có thể mở một kết nối WebDAV trong File Explorer một cách âm thầm. Người dùng thấy như thể đang truy cập một thư mục cục bộ. Nhưng không phải vậy.
Điều đặc biệt gây hại là chuỗi các bước tiếp theo. Các script tải xuống các script bổ sung từ các máy chủ WebDAV riêng biệt. Các tệp hợp pháp pha trộn với các tệp độc hại để làm mờ khả năng phát hiện. Khi RAT đã được cài đặt, đường truyền phân phối đã đi qua nhiều lớp mã hóa. Các công cụ bảo mật quét tải xuống trình duyệt bỏ lỡ toàn bộ chuỗi này.
Báo cáo của Cofense ghi nhận rằng 50% các chiến dịch bị ảnh hưởng là bằng tiếng Đức. Các chiến dịch bằng tiếng Anh chiếm 30%. Tiếng Ý và Tây Ban Nha chiếm phần còn lại. Phân chia này cho thấy mục tiêu chính là các tài khoản email doanh nghiệp châu Âu.
Bạn Có Thể Cũng Quan Tâm: npm Worm đánh cắp chìa khóa Crypto, nhắm vào 19 gói phần mềm
Cloudflare Tunnel đang đảm nhận phần lớn công việc cho các kẻ tấn công. Tất cả các Báo Cáo Đe Dọa Hoạt Động liên quan đến chiến thuật này đều sử dụng các tài khoản thử nghiệm miễn phí trên trycloudflare[.]com để lưu trữ các máy chủ WebDAV độc hại. Hạ tầng của Cloudflare định tuyến kết nối của nạn nhân. Điều này khiến lưu lượng trông có vẻ hợp pháp khi mới xem xét. Các tài khoản thử nghiệm này có thời hạn ngắn theo thiết kế, vì vậy các tác nhân đe dọa nhanh chóng xóa chúng sau khi chiến dịch bắt đầu, cắt đứt khả năng phân tích pháp y.
Tại Sao Các Chủ Sở Hữu Tiền Điện Tử Phải Đối Mặt Với Nguy Cơ Nghiêm Trọng
Điều này trở nên nguy hiểm đối với bất kỳ ai nắm giữ tài sản kỹ thuật số. Các RAT như XWorm và Async RAT cung cấp cho kẻ tấn công quyền truy cập từ xa liên tục vào máy bị nhiễm. Điều này có nghĩa là nội dung clipboard, phiên trình duyệt, mật khẩu đã lưu và các tệp ví tiền điện tử đều trong tầm tay. Chiếm đoạt clipboard, một phương pháp đã liên kết với hàng trăm triệu USD bị trộm cắp tiền điện tử, trở nên dễ dàng hơn khi RAT đang chạy.
Các thiệt hại do lừa đảo qua email chỉ riêng tháng 1 năm 2026 đã vượt quá 300 triệu USD, theo dữ liệu theo dõi an ninh. Con số này vượt xa các khoản thiệt hại do hack giao thức trong cùng kỳ. Các phương pháp tấn công do Cofense ghi nhận trực tiếp góp phần vào dòng chảy đó. Một RAT được cài qua WebDAV trên máy của nhân viên bộ phận tài chính không chỉ là vấn đề của bộ phận CNTT doanh nghiệp. Nó là con đường trực tiếp dẫn đến rút sạch ví và đánh cắp chìa khóa.
Cũng Đáng Chú Ý: Khi Các Mối Đe Dọa Gia Tăng, Bảo Mật Ví Tiền Điện Tử Sẽ Trở Thành Ưu Tiên Hàng Đầu Năm 2026
** Những Điều Các Tổ Chức Cần Phải Làm Ngay Bây Giờ**
Báo cáo của Cofense đề xuất tập trung tìm kiếm lưu lượng mạng đến các phiên bản thử nghiệm Cloudflare Tunnel. Các công cụ EDR với phân tích hành vi nên cảnh báo các tệp .URL và .LNK liên hệ với các máy chủ từ xa. Giải pháp khó hơn là giáo dục người dùng. Hầu hết mọi người đều không biết rằng thanh địa chỉ của File Explorer hoạt động như trình duyệt.
Kiểm tra nó theo cách họ kiểm tra một URL đáng ngờ là hàng phòng thủ đầu tiên. Các hình thức lợi dụng tương tự cũng có thể xảy ra qua FTP và SMB. Cả hai giao thức này đều được sử dụng phổ biến trong doanh nghiệp và đều có thể truy cập các máy chủ bên ngoài. Phạm vi tấn công mà Cofense ghi nhận rộng hơn chỉ WebDAV.
Liên Quan: Các vụ Hack và Sự cố An ninh năm 2025: Một Năm Phơi Bày Những Điểm Yếu Nhất của Crypto
Phân tích kỹ thuật đầy đủ, bao gồm bảng IOC và ví dụ tên miền Cloudflare Tunnel liên quan đến các Báo Cáo Đe Dọa Hoạt Động cụ thể, có sẵn trong báo cáo của Cofense Intelligence đăng tại cofense.com.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
