tin tức bảo mật ghi nhận các chiến dịch quảng cáo giả mạo đang được dùng để đánh cắp tiền mã hóa từ người dùng. Kẻ tấn công lợi dụng nền tảng quảng cáo của Google để phát tán liên kết trông giống hệt ứng dụng crypto hợp pháp, nhưng dẫn tới các trang được thiết kế nhằm rút ví hoặc lừa nạn nhân nhập seed phrase.
Chiến dịch quảng cáo độc hại nhắm vào người dùng crypto
Hoạt động này không mới, nhưng đã tăng mạnh trong 2026. Riêng trong tháng 3, tần suất chiến dịch đạt mức đỉnh, với quảng cáo giả xuất hiện liên tục mỗi tuần trong hơn một năm. Các mục tiêu được giả mạo gồm Uniswap, PancakeSwap, Morpho Finance, Hyperliquid, CoW Swap và thương hiệu ví phần cứng Ledger.
Theo báo cáo từ Security Alliance (SEAL), chỉ trong vài tuần đã có hơn 356 URL quảng cáo độc hại bị chặn. Con số này chỉ phản ánh một phần quy mô thực tế của chiến dịch. Báo cáo gốc có thể tham khảo tại Security Alliance Radar.
lỗ hổng CVE và mô hình tấn công
Không có lỗ hổng CVE được nêu trong nội dung gốc. Đây là chiến dịch lừa đảo và tấn công mạng qua quảng cáo độc hại, không phải khai thác lỗi phần mềm theo kiểu remote code execution. Điểm nguy hiểm nằm ở chuỗi chuyển hướng, cloaking và việc đánh cắp thông tin ví.
Quảng cáo độc hại thường không trỏ thẳng tới trang lừa đảo. Thay vào đó, liên kết ban đầu được đặt trên các miền thuộc Google như sites.google.com hoặc docs.google.com để vượt qua quá trình kiểm duyệt tự động. Sau đó, nội dung thật được tải từ tầng khác thông qua hidden iframe và các script ẩn.
Kỹ thuật payload được sử dụng
- Wallet drainer: dùng JavaScript trong trình duyệt để ép nạn nhân xác nhận giao dịch có hại.
- Seed phrase stealer: hiển thị website giả mạo yêu cầu nhập trực tiếp cụm khôi phục ví.
- Fake browser extension: phát tán qua các liên kết giống Chrome Web Store.
Các payload này được phối hợp để mở rộng mối đe dọa và tăng khả năng lừa người dùng trước khi họ phát hiện trang web là giả mạo.
Cách thức cloaking và proxy trung gian
Thành phần đáng chú ý là cơ chế fingerprinting và cloaking. Script trên trang sẽ kiểm tra xem truy cập đến từ nhà nghiên cứu bảo mật hay người dùng thật. Nếu là đối tượng không mong muốn, hệ thống chuyển hướng sang trang vô hại như Wikipedia. Nếu là người dùng mục tiêu, hệ thống phục vụ bản sao giao diện của ứng dụng gốc.
Lớp man-in-the-middle proxy ở giữa sẽ chặn toàn bộ lưu lượng từ giao diện giả, bao gồm cả các lời gọi giao dịch Ethereum, rồi chuyển chúng qua backend của kẻ tấn công trước khi tới endpoint thật. Cách làm này giúp kẻ tấn công có khả năng quan sát số dư ví và hoạt động giao dịch theo thời gian thực.
Hành vi hạ tầng và tái triển khai
Ngay khi URL độc hại bị chặn, hệ thống phía sau có thể phát hiện gần như tức thì và phát lại chiến dịch bằng một quảng cáo mới cùng landing page mới, đôi khi chỉ trong vài phút. Đây là dấu hiệu của một hạ tầng được tự động hóa cao và được duy trì liên tục.
Tác động và thiệt hại ghi nhận
Thiệt hại tài chính đã được xác nhận là nghiêm trọng. Từ 13/3 đến 30/3/2026, ít nhất 1,274,259 USD đã bị đánh cắp từ nạn nhân, trong đó 810,929 USD được liên kết trực tiếp với các vụ tấn công cụ thể. Một vụ riêng lẻ vào đầu tháng 3/2026 đã lên tới 385,000 USD.
SEAL lưu ý tổng thiệt hại thực tế có thể lớn hơn nhiều do việc quy kết chỉ khả thi khi nạn nhân cung cấp đủ thông tin. Trong các site bị phát hiện, Uniswap bị mạo danh nhiều nhất với 41%, tiếp theo là Morpho Finance với 31%.
IOC và dấu hiệu nhận biết
Nội dung gốc không cung cấp IOC dạng hash, IP hay domain cố định để trích xuất đầy đủ. Tuy nhiên, các dấu hiệu kỹ thuật sau được xác định rõ:
- sites.google.com hoặc docs.google.com được dùng làm lớp chuyển hướng ban đầu.
- hidden iframes tải nội dung độc hại ở tầng sau.
- JavaScript wallet drainer trong trang giả mạo.
- Cloned website có giao diện giống hệt ứng dụng thật.
- Chrome Web Store links giả mạo để phát tán extension.
Khuyến nghị kỹ thuật cho người dùng crypto
SEAL khuyến nghị người dùng không dùng Google Search để đi tới các ứng dụng crypto. Cách an toàn hơn là lưu URL tin cậy dưới dạng bookmark và truy cập trực tiếp mỗi lần cần kết nối ví. Đây là biện pháp giảm rủi ro bảo mật trước kiểu tấn công mạng dựa trên quảng cáo.
Để xác minh liên kết, có thể dùng công cụ lập chỉ mục chuyên biệt cho crypto như search.defillama.com trước khi kết nối ví. Với tổ chức quản lý tài sản số, cần áp dụng chính sách truy cập trực tiếp bằng URL đã xác thực và tránh mọi kết quả tìm kiếm, kể cả mục được gắn nhãn sponsored.
Checklist phòng vệ thực tế
- Chỉ mở ứng dụng crypto từ bookmark đã lưu.
- Không nhập recovery phrase vào bất kỳ trang web nào.
- Kiểm tra lại domain trước khi ký giao dịch.
- Rà soát extension trình duyệt lạ hoặc không rõ nguồn gốc.
- Giám sát các hoạt động chuyển hướng bất thường từ quảng cáo tìm kiếm.
Điểm chính về chiến dịch
Google đã tạm ngưng các tài khoản quảng cáo được xác định trong báo cáo, nhưng chiến dịch vẫn tiếp diễn khi tài khoản mới được triển khai nhanh. Đặc điểm này cho thấy một mối đe dọa có tính lặp lại cao, được vận hành bằng hạ tầng linh hoạt và cơ chế thay đổi landing page liên tục.
Trong bối cảnh này, tin tức an ninh mạng liên quan tới quảng cáo độc hại cho thấy rủi ro không nằm ở phần mềm crypto bị lỗi, mà ở hành vi xác thực người dùng, thói quen truy cập và việc kiểm tra URL không đầy đủ trước khi ký giao dịch hoặc nhập seed phrase.
