{
	"id": "2e4e7c57-fe16-4eb1-a263-1f968269427d",
	"created_at": "2026-04-06T00:18:40.317666Z",
	"updated_at": "2026-04-10T13:12:23.744535Z",
	"deleted_at": null,
	"sha1_hash": "3d96571044d5f283870b99f941ba7839c2af0a66",
	"title": "[Phân tích nhanh] Chiến dịch Phishing giả mạo Cơ quan Thuế để phát tán mã độc",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2573716,
	"plain_text": "[Phân tích nhanh] Chiến dịch Phishing giả mạo Cơ quan Thuế để\r\nphát tán mã độc\r\nPublished: 2025-11-25 · Archived: 2026-04-05 18:01:14 UTC\r\nHiện tại, ở Việt Nam đang có những thay đổi quan trọng về quy định thuế liên quan đến cá nhân và hộ kinh doanh,\r\nđặc biệt là những thay đổi sẽ có hiệu lực từ năm 2026. Mục tiêu của các cơ quan quản lý nhằm đồng bộ hóa quy\r\nđịnh, đơn giản hóa thủ tục và tăng cường quản lý thuế. Trong những thay đổi này thì các thay đổi đối với Hộ kinh\r\ndoanh là đáng kể và sẽ có hiệu lực chủ yếu từ ngày 01/01/2026, theo đó việc bỏ thuế khoán nhằm đảm bảo tính\r\nminh bạch hoạt động của hộ kinh doanh, cũng như tạo sự bình đẳng về chế độ thuế giữa hộ kinh doanh và\r\ndoanh nghiệp.\r\nLợi dụng các thay đổi về chính sách thuế và quá trình hoàn thiện các dự luật, các nhóm tội phạm lừa đảo đã áp\r\ndụng nhiều hình thức tinh vi để chiếm đoạt tài sản của cá nhân và hộ kinh doanh. Phổ biến trong đó là hình thức\r\n“Lừa đảo qua Email/Tin nhắn”:\r\nMục đích: Gây hoang mang, thúc ép nạn nhân nộp phạt hoặc trả phí để tránh rắc rối về thuế.\r\nThủ đoạn:\r\nGửi mail/tin nhắn Yêu cầu nộp phạt: Gửi email hoặc tin nhắn SMS mạo danh cơ quan thuế thông\r\nbáo rằng cá nhân/hộ kinh doanh vi phạm quy định thuế hoặc chưa cập nhật thông tin theo luật,\r\nyêu cầu nộp một khoản tiền phạt gấp.\r\nĐính kèm mã độc: Email thường có tệp đính kèm hoặc đường link chứa mã độc, yêu cầu người\r\ndùng mở ra để xem chi tiết vi phạm. Khi mở tệp/link, mã độc sẽ xâm nhập máy tính/điện thoại để\r\nđánh cắp thông tin cá nhân, tài khoản ngân hàng, v…v…\r\nMới đây, người em của tôi có gửi cho tôi một email sample\r\n(24dc4ca6f2493e158b462f4381099c51fd274bed1ec4f03189d5e206726941bf) có nội dung như sau:\r\nhttps://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/\r\nPage 1 of 7\n\nChi tiết Headers của email này:\r\nReceived: from gdt.gov.vn ([91.92.243.158]) by mailgw1.vnnic.vn with ESMTP id uHowBwy8fwAPSN6j for \u003ct\r\nX-Barracuda-Envelope-From: hoadondientu@gdt.gov.vn\r\nX-ASG-AllowList: Sender\r\nX-Barracuda-Effective-Source-IP: UNKNOWN[91.92.243.158]\r\nX-Barracuda-Apparent-Source-IP: 91.92.243.158\r\nX-Barracuda-UID:tech@vnnic.vn tech tech@vnnic.vn\r\nFrom: hoadondientu@gdt.gov.vn\r\nTo: tech@vnnic.vn\r\nSubject: =?UTF-8?B?VGjDtG5nIGLDoW8gY+G7p2EgSMSQxJBUOiBUaMO0bmcgYsOhbyBDw7RuZyB0eSB2aSBwaOG6oW0gdGh14b\r\nDate: 16 Nov 2025 22:32:08 -0800\r\nX-ASG-Orig-Subj: =?UTF-8?B?VGjDtG5nIGLDoW8gY+G7p2EgSMSQxJBUOiBUaMO0bmcgYsOhbyBDw7RuZyB0eSB2aSBwaOG6oW\r\nMessage-ID: \u003c20251116223208.77255C1C8746A567@gdt.gov.vn\u003e\r\nMIME-Version: 1.0\r\nContent-Type: multipart/mixed;\r\nboundary=\"----=_NextPart_000_0012_028BB85F.8C4DBE1F\"\r\nX-Barracuda-Connect: UNKNOWN[91.92.243.158]\r\nX-Barracuda-Start-Time: 1763361129\r\nX-Barracuda-URL: https://mailgw1.vnnic.vn:443/cgi-mod/mark.cgi\r\nX-Virus-Scanned: by bsmtpd at vnnic.vn\r\nX-Barracuda-Scan-Msg-Size: 3210\r\nX-Barracuda-BRTS-Status: 1\r\nX-ASG-Debug-ID: 1763361129-36817a4a32372650001-xRXqoE\r\nhttps://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/\r\nPage 2 of 7\n\nFile đính kèm theo email “16112025_Thông báo của HĐĐT Công ty vi phạm thuế quá mức Thông báo số\r\n10964001 pdf.z” có thêm “.z” là thấy không đáng tin cậy rồi. Bản chất nó là một file nén bằng Winrar, bên trong\r\nchứa một file js (Java script):\r\nFile js này có tận 1212 dòng code, và bị obfuscate hoàn toàn:\r\nToàn bộ code trên sau khi deobf như sau:\r\nHoạt động của script này như một dạng dropper, gồm các bước chính sau:\r\nDrop: Tạo file Anise.bat trong %TEMP% chứa code rác.\r\nClean: Đọc lại file, xóa chuỗi rác (” BANANA “).\r\nExecute: Dùng WMI để chạy file .bat sau khi đã làm sạch.\r\nhttps://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/\r\nPage 3 of 7\n\nNhư vậy file Anise.bat sau khi chạy sẽ thực hiện các hành vi độc hại tiếp theo. File này gồm 230 dòng code và\r\ncũng bị obfuscate hoàn toàn:\r\nTiếp tục thực hiện deobf thấy nó sẽ gọi tới powershell để thực hiện đoạn code như sau:\r\nSử dụng CyberChef để decode xem nó làm gì tiếp theo. Code sau khi decode vẫn tiếp tục bị kẻ tấn công che dấu\r\nthông qua Base64 và Gzip:\r\nVới biến $c như trong hình, tôi thực hiện Base64 để decode và Gunzip để giải nén. Quan sát nhanh tôi thấy không\r\ncó gì quan trọng ở code này:\r\nTiếp tục thực hiện với $d = $p1 + $p2; Với sự hỗ trợ của CyberChef tôi có được code như sau:\r\nhttps://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/\r\nPage 4 of 7\n\nLướt nhanh code thì có thể thấy kẻ tấn công sử dụng Base64, AES (CBC) để decrypt và Gzip để giải nén ra các\r\npayload và thực thi chúng thông qua kỹ thuật .NET Reflection Loading, cho phép kẻ tấn công nạp và thực thi\r\n.NET payload (.exe hoặc .dll) trực tiếp từ bộ nhớ (RAM) mà không cần ghi payload xuống ổ cứng. Vậy câu hỏi\r\nđặt ra, các payload này từ đâu ra? Để ý tới đoạn code sau:\r\n$host.UI.RawUI.WindowTitle = $KKfcv;\r\n$dYauV = [System.IO.File]::ReadAllText($KKfcv).Split([Environment]::NewLine);\r\nforeach ($aWhsb in $dYauV) {\r\n if ($aWhsb.StartsWith(':: ')) {\r\n $HgQTy = $aWhsb.Substring(3);\r\n break;\r\n }\r\n}\r\nCó thể thấy nó thực hiện:\r\nScript đọc toàn bộ nội dung của file, sau đó cắt nhỏ từng dòng (split) và lưu vào mảng $dYauV .\r\nSau đó duyệt qua từng dòng của file.\r\nKhi tìm thấy dòng bắt đầu bằng ':: ' , nó sẽ cắt bỏ 3 ký tự đầu tiên (tức là bỏ chữ :: đi) và lưu blob\r\ndata đó vào $HgQT.\r\nQuay lại với file .bat, ta có thể xác định được nhanh chóng chuỗi này:\r\nTiếp tục sử dụng CyberChef tôi có được các payload:\r\nPayload 1 (98ceccafe3754303660352f44660e56399ba91d07b4b73ed8dd74fa456071bef)\r\nhttps://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/\r\nPage 5 of 7\n\nPayload 2 (9407c933b6159aebde11697a916263df83fe91b937b6d6d62dd754761bebac86)\r\nPhân tích payload 2 , tôi dump được payload cuối\r\n(ef0556dc61ee9912ae1647e9dcbbdd8fbcbfb4f56e77241f2315a7ca4f20c845) là dòng mã độc vipkeylogger.\r\nKhi thực thi thành công nó sẽ gửi thông tin thu thập được về nạn nhân tới địa chỉ sau:\r\nhttps://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/\r\nPage 6 of 7\n\nEnd!\r\nm4n0w4r\r\nPS: Lời khuyên thì không có vì báo đài nói nhiều rồi, ai dính thì người đó chịu thôi 😦 . Chịu khó follow người em HieuPC và team\r\nChống Lừa Đảo (CLD) để có những cập nhật nhanh nhất, mới nhất về các “kĩ nghệ đào lửa“.\r\nSource: https://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/\r\nhttps://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "VI",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/"
	],
	"report_names": [
		"phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc"
	],
	"threat_actors": [],
	"ts_created_at": 1775434720,
	"ts_updated_at": 1775826743,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/3d96571044d5f283870b99f941ba7839c2af0a66.pdf",
		"text": "https://archive.orkl.eu/3d96571044d5f283870b99f941ba7839c2af0a66.txt",
		"img": "https://archive.orkl.eu/3d96571044d5f283870b99f941ba7839c2af0a66.jpg"
	}
}