[Phân tích nhanh] Chiến dịch Phishing giả mạo Cơ quan Thuế để phát tán mã độc Published: 2025-11-25 · Archived: 2026-04-05 18:01:14 UTC Hiện tại, ở Việt Nam đang có những thay đổi quan trọng về quy định thuế liên quan đến cá nhân và hộ kinh doanh, đặc biệt là những thay đổi sẽ có hiệu lực từ năm 2026. Mục tiêu của các cơ quan quản lý nhằm đồng bộ hóa quy định, đơn giản hóa thủ tục và tăng cường quản lý thuế. Trong những thay đổi này thì các thay đổi đối với Hộ kinh doanh là đáng kể và sẽ có hiệu lực chủ yếu từ ngày 01/01/2026, theo đó việc bỏ thuế khoán nhằm đảm bảo tính minh bạch hoạt động của hộ kinh doanh, cũng như tạo sự bình đẳng về chế độ thuế giữa hộ kinh doanh và doanh nghiệp. Lợi dụng các thay đổi về chính sách thuế và quá trình hoàn thiện các dự luật, các nhóm tội phạm lừa đảo đã áp dụng nhiều hình thức tinh vi để chiếm đoạt tài sản của cá nhân và hộ kinh doanh. Phổ biến trong đó là hình thức “Lừa đảo qua Email/Tin nhắn”: Mục đích: Gây hoang mang, thúc ép nạn nhân nộp phạt hoặc trả phí để tránh rắc rối về thuế. Thủ đoạn: Gửi mail/tin nhắn Yêu cầu nộp phạt: Gửi email hoặc tin nhắn SMS mạo danh cơ quan thuế thông báo rằng cá nhân/hộ kinh doanh vi phạm quy định thuế hoặc chưa cập nhật thông tin theo luật, yêu cầu nộp một khoản tiền phạt gấp. Đính kèm mã độc: Email thường có tệp đính kèm hoặc đường link chứa mã độc, yêu cầu người dùng mở ra để xem chi tiết vi phạm. Khi mở tệp/link, mã độc sẽ xâm nhập máy tính/điện thoại để đánh cắp thông tin cá nhân, tài khoản ngân hàng, v…v… Mới đây, người em của tôi có gửi cho tôi một email sample (24dc4ca6f2493e158b462f4381099c51fd274bed1ec4f03189d5e206726941bf) có nội dung như sau: https://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/ Page 1 of 7 Chi tiết Headers của email này: Received: from gdt.gov.vn ([91.92.243.158]) by mailgw1.vnnic.vn with ESMTP id uHowBwy8fwAPSN6j for MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_000_0012_028BB85F.8C4DBE1F" X-Barracuda-Connect: UNKNOWN[91.92.243.158] X-Barracuda-Start-Time: 1763361129 X-Barracuda-URL: https://mailgw1.vnnic.vn:443/cgi-mod/mark.cgi X-Virus-Scanned: by bsmtpd at vnnic.vn X-Barracuda-Scan-Msg-Size: 3210 X-Barracuda-BRTS-Status: 1 X-ASG-Debug-ID: 1763361129-36817a4a32372650001-xRXqoE https://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/ Page 2 of 7 File đính kèm theo email “16112025_Thông báo của HĐĐT Công ty vi phạm thuế quá mức Thông báo số 10964001 pdf.z” có thêm “.z” là thấy không đáng tin cậy rồi. Bản chất nó là một file nén bằng Winrar, bên trong chứa một file js (Java script): File js này có tận 1212 dòng code, và bị obfuscate hoàn toàn: Toàn bộ code trên sau khi deobf như sau: Hoạt động của script này như một dạng dropper, gồm các bước chính sau: Drop: Tạo file Anise.bat trong %TEMP% chứa code rác. Clean: Đọc lại file, xóa chuỗi rác (” BANANA “). Execute: Dùng WMI để chạy file .bat sau khi đã làm sạch. https://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/ Page 3 of 7 Như vậy file Anise.bat sau khi chạy sẽ thực hiện các hành vi độc hại tiếp theo. File này gồm 230 dòng code và cũng bị obfuscate hoàn toàn: Tiếp tục thực hiện deobf thấy nó sẽ gọi tới powershell để thực hiện đoạn code như sau: Sử dụng CyberChef để decode xem nó làm gì tiếp theo. Code sau khi decode vẫn tiếp tục bị kẻ tấn công che dấu thông qua Base64 và Gzip: Với biến $c như trong hình, tôi thực hiện Base64 để decode và Gunzip để giải nén. Quan sát nhanh tôi thấy không có gì quan trọng ở code này: Tiếp tục thực hiện với $d = $p1 + $p2; Với sự hỗ trợ của CyberChef tôi có được code như sau: https://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/ Page 4 of 7 Lướt nhanh code thì có thể thấy kẻ tấn công sử dụng Base64, AES (CBC) để decrypt và Gzip để giải nén ra các payload và thực thi chúng thông qua kỹ thuật .NET Reflection Loading, cho phép kẻ tấn công nạp và thực thi .NET payload (.exe hoặc .dll) trực tiếp từ bộ nhớ (RAM) mà không cần ghi payload xuống ổ cứng. Vậy câu hỏi đặt ra, các payload này từ đâu ra? Để ý tới đoạn code sau: $host.UI.RawUI.WindowTitle = $KKfcv; $dYauV = [System.IO.File]::ReadAllText($KKfcv).Split([Environment]::NewLine); foreach ($aWhsb in $dYauV) { if ($aWhsb.StartsWith(':: ')) { $HgQTy = $aWhsb.Substring(3); break; } } Có thể thấy nó thực hiện: Script đọc toàn bộ nội dung của file, sau đó cắt nhỏ từng dòng (split) và lưu vào mảng $dYauV . Sau đó duyệt qua từng dòng của file. Khi tìm thấy dòng bắt đầu bằng ':: ' , nó sẽ cắt bỏ 3 ký tự đầu tiên (tức là bỏ chữ :: đi) và lưu blob data đó vào $HgQT. Quay lại với file .bat, ta có thể xác định được nhanh chóng chuỗi này: Tiếp tục sử dụng CyberChef tôi có được các payload: Payload 1 (98ceccafe3754303660352f44660e56399ba91d07b4b73ed8dd74fa456071bef) https://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/ Page 5 of 7 Payload 2 (9407c933b6159aebde11697a916263df83fe91b937b6d6d62dd754761bebac86) Phân tích payload 2 , tôi dump được payload cuối (ef0556dc61ee9912ae1647e9dcbbdd8fbcbfb4f56e77241f2315a7ca4f20c845) là dòng mã độc vipkeylogger. Khi thực thi thành công nó sẽ gửi thông tin thu thập được về nạn nhân tới địa chỉ sau: https://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/ Page 6 of 7 End! m4n0w4r PS: Lời khuyên thì không có vì báo đài nói nhiều rồi, ai dính thì người đó chịu thôi 😦 . Chịu khó follow người em HieuPC và team Chống Lừa Đảo (CLD) để có những cập nhật nhanh nhất, mới nhất về các “kĩ nghệ đào lửa“. Source: https://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/ https://kienmanowar.wordpress.com/2025/11/25/phan-tich-nhanh-chien-dich-phishing-gia-mao-co-quan-thue-de-phat-tan-ma-doc/ Page 7 of 7