Mặt Trái Của Phần Mềm Không Bản Quyền: Chiến Dịch Mã Độc Tấn Công Toàn Cầu

• 08/01/2026

Một chiến dịch phát tán mã độc quy mô lớn vừa bị cơ quan chức năng Hàn Quốc triệt phá đã phơi bày mối nguy hiểm nghiêm trọng từ việc sử dụng phần mềm không bản quyền. Đáng chú ý, mã độc được phát tán thông qua KMSAuto – công cụ kích hoạt Windows và Office lậu vốn được sử dụng phổ biến trên toàn thế giới.

Theo kết quả điều tra, khoảng 2,8 triệu máy tính đã bị lây nhiễm, trong đó nhiều nạn nhân bị đánh cắp tiền mã hóa mà không hề hay biết.

Chiến dịch phát tán mã độc quy mô toàn cầu

Nghi phạm trong vụ việc là một công dân Lithuania, 29 tuổi, đã bị bắt giữ và dẫn độ từ Georgia về Hàn Quốc với sự phối hợp của Interpol. Đối tượng bị cáo buộc đã cài cắm mã độc trực tiếp vào công cụ KMSAuto, sau đó phát tán rộng rãi trên Internet để dụ người dùng tải về và sử dụng.

Lợi dụng tâm lý muốn kích hoạt phần mềm miễn phí, hacker đã biến một công cụ quen thuộc thành kênh lây nhiễm mã độc hàng loạt, âm thầm tấn công người dùng trong thời gian dài.

Clipper malware – đánh cắp tiền mã hóa không để lại dấu vết

Loại mã độc được sử dụng trong chiến dịch này là clipper malware – một hình thức tấn công tinh vi nhắm thẳng vào người dùng tiền mã hóa.

Khi nạn nhân sao chép địa chỉ ví để thực hiện giao dịch, mã độc sẽ:

• Theo dõi dữ liệu trong clipboard

• Tự động thay thế địa chỉ ví đích bằng ví do hacker kiểm soát

• Giao dịch vẫn được thực hiện bình thường, nhưng tài sản bị chuyển hoàn toàn cho kẻ tấn công

Do không có dấu hiệu bất thường trong quá trình giao dịch, nhiều nạn nhân chỉ phát hiện sự cố khi tài sản đã “bốc hơi”.

(Hình: Sơ đồ tổng quan vụ tấn công – nguồn police.go.kr)

Thiệt hại nghiêm trọng trong nhiều năm

Theo cơ quan điều tra, từ tháng 4/2020 đến tháng 1/2023, hacker đã:

• Phát tán 2,8 triệu bản KMSAuto nhiễm mã độc

• Thực hiện hơn 8.400 giao dịch gian lận

• Chiếm đoạt khoảng 1,7 tỷ won (tương đương 1,2 triệu USD)

• Ảnh hưởng đến 3.100 địa chỉ ví tiền mã hóa và nhiều sàn giao dịch tiền số

Quy mô và thời gian hoạt động cho thấy đây là một chiến dịch có tổ chức, vận hành lâu dài và cực kỳ khó phát hiện.

Phần mềm lậu – cánh cửa mở sẵn cho mã độc

Giới chuyên gia an ninh mạng cảnh báo, các công cụ kích hoạt Windows lậu như KMSAuto từ lâu đã trở thành kênh phát tán mã độc phổ biến, đặc biệt tại các quốc gia có tỷ lệ sử dụng phần mềm không bản quyền cao – trong đó có Việt Nam.

Việc cài đặt phần mềm không rõ nguồn gốc đồng nghĩa với:

• Mất quyền kiểm soát hệ thống

• Nguy cơ rò rỉ dữ liệu cá nhân và tài chính

• Trở thành nạn nhân của các chiến dịch tấn công kéo dài

Khuyến nghị từ DTG

Để giảm thiểu rủi ro, DTG khuyến nghị người dùng và doanh nghiệp:

• Tuyệt đối không sử dụng công cụ kích hoạt phần mềm lậu

• Chỉ cài đặt phần mềm có nguồn gốc rõ ràng, bản quyền hợp pháp

• Kiểm tra chữ ký số và nhà phát hành trước khi cài đặt

• Sử dụng giải pháp bảo mật đầu cuối và cập nhật hệ thống thường xuyên

• Nâng cao nhận thức về rủi ro an ninh mạng từ các “công cụ miễn phí”

Vụ việc là lời cảnh báo rõ ràng: tiết kiệm chi phí bản quyền có thể phải trả giá bằng dữ liệu, tài sản và an toàn hệ thống.

Nguồn tham khảo: BleepingComputer