Danh sách các router Wi-Fi phổ biến đang bị mã độc tấn công

Một chiến dịch tấn công mã độc quy mô lớn vừa bị phanh phui, nhắm thẳng vào 'trái tim' mạng internet của hàng triệu gia đình. Nếu đang sở hữu một trong 18 dòng router Wi-Fi dưới đây, rất có thể thiết bị của bạn đã trở thành công cụ cho tội phạm mạng mà bạn không hề hay biết.

Hàng trăm ngàn thiết bị Wi-Fi bị tấn công

Trong một thông báo khẩn vừa được phát hành vào giữa tháng 3.2026, Cục Điều tra liên bang Mỹ (FBI) đã đưa ra lời cảnh báo đanh thép về một mạng lưới mã độc khổng lồ chuyên tấn công các thiết bị router Wi-Fi và IoT. Thay vì tấn công trực tiếp vào máy tính hay điện thoại, những kẻ thủ ác chọn cách chiếm quyền điều khiển router, vốn được xem như 'trạm trung chuyển' dữ liệu của mọi gia đình, để biến chúng thành những 'con rối' (proxy) phục vụ cho các hoạt động phi pháp.

Mã độc AVrecon tấn công hàng loạt thiết bị mạng phổ biến

ẢNH: CHỤP MÀN HÌNH PCMAG

Theo điều tra, mã độc mang tên AVrecon đã âm thầm lây nhiễm vào khoảng 369.000 thiết bị kể từ năm 2020. Những thiết bị này sau đó bị rao bán quyền truy cập trên dịch vụ proxy dân cư SocksEscort, cho phép tội phạm mạng khắp thế giới ẩn danh để thực hiện các cuộc tấn công xuyên biên giới.

Dù có tới hơn 1.200 mẫu thiết bị rơi vào vòng nguy hiểm, nhưng FBI đặc biệt lưu ý 18 dòng router từ các thương hiệu phổ biến, đồng thời cũng rất quen thuộc tại Việt Nam, thường xuyên bị xâm nhập nhất, gồm có:

• TP-Link: Archer C20, TL-WR840N, TL-WR849N, WR841N.
• D-Link: DIR-818LW, DIR-850L, DIR-860L.
• Netgear: DGN2200v4, AC1900 R7000.
• Zyxel: Các dòng series VMG, PMG và EMG (như EMG6726-B10A, PMG5617GA, VMG1312-B10D, VMG1312-T20B, VMG3925-B10A, VMG3925-B10C, VMG4825-B10A, VMG4927-B50A và VMG8825-T50K).
  

Ngoài ra, hai mẫu camera an ninh (IoT) cũng nằm trong danh sách đen này do chứa các lỗ hổng bảo mật nghiêm trọng.

Điều đáng nói là nhiều thiết bị bị tấn công thông qua các lỗi bảo mật cũ như Remote Code Execution (thực thi dòng lệnh từ xa). FBI cho biết nhiều nhà sản xuất đã phát hành bản vá, nhưng người dùng lại 'ngó lơ' hoặc không biết đến việc cập nhật firmware.

Một khi đã nhiễm AVrecon, kẻ tấn công không chỉ dùng router của nạn nhân làm lá chắn cho chúng mà còn có thể thiết lập 'Remote Shell', tự ý tải về và thực thi các đoạn mã độc khác để đánh cắp thông tin cá nhân hoặc theo dõi mọi hoạt động trực tuyến của gia đình.

Lời khuyên từ chuyên gia

Dù dịch vụ SocksEscort đã bị FBI phối hợp với Europol triệt phá, nhưng nguy cơ từ mã độc AVrecon vẫn còn hiện hữu. Các chuyên gia khuyến cáo người dùng:

• Kiểm tra ngay router nhà mình có nằm trong danh sách trên không.
• Nếu có, hãy truy cập trang quản trị router và cài đặt bản cập nhật firmware mới nhất từ nhà sản xuất.
• Bên cạnh đó, nên thay đổi mật khẩu quản trị router (không phải mật khẩu Wi-Fi) sang một chuỗi ký tự phức tạp hơn.