Một chiến dịch mã độc mới đang âm thầm làm cạn kiệt ví tiền điện tử bằng một phương thức mà hầu hết các công cụ bảo mật không thể phát hiện. Thay vì dựa vào các cuộc tấn công vũ lực (brute-force) hoặc khai thác các lỗ hổng đã biết, kẻ tấn công đã xây dựng một hệ thống tạo dựng danh tiếng giả mạo trên nhiều nền tảng để làm cho phần mềm độc hại trông hoàn toàn an toàn và đáng tin cậy. Khám phá chi tiết về mối đe dọa mạng này.
Chi tiết về Mã độc
Mã độc cốt lõi của chiến dịch là một công cụ chiếm quyền điều khiển clipboard được viết bằng Rust, một ngôn ngữ lập trình nổi tiếng về tốc độ và khả năng kiểm soát cấp thấp. Nó chạy âm thầm trong nền, theo dõi bất kỳ địa chỉ ví tiền điện tử nào được sao chép vào clipboard và thay thế chúng bằng một địa chỉ do kẻ tấn công kiểm soát. Đến khi nạn nhân hoàn tất giao dịch, số tiền sẽ chuyển đến ví sai và không có cách nào để hoàn tác giao dịch.
Tác nhân đe dọa và phương thức hoạt động
Theo báo cáo từ Check Point Research, tác nhân đe dọa đã xây dựng một hệ sinh thái hoàn chỉnh để phân phối và che giấu mã độc. Hoạt động này nhắm vào các nhà giao dịch tiền điện tử, người chơi cờ bạc trực tuyến và bất kỳ ai tìm kiếm các lối tắt để kiếm lợi nhuận nhanh chóng, bằng cách dụ dỗ họ bằng các công cụ giả mạo như Solana sniper bots, Aviator Predictors, và crash-game forecasters. Thực tế, không có công cụ nào trong số này hoạt động như quảng cáo; tất cả đều đóng vai trò là phương tiện phân phối cho mã độc chiếm quyền điều khiển clipboard.
Chiến lược tạo dựng danh tiếng giả mạo
Điểm đặc biệt của chiến dịch này không nằm ở bản thân mã độc, mà ở mạng lưới tinh vi các yếu tố tạo dựng uy tín giả mạo xung quanh nó. Kẻ tấn công sử dụng một trang web lừa đảo (phishing) được xây dựng trên WordPress làm trung tâm điều khiển, sau đó dẫn nạn nhân đến GitHub, SourceForge và YouTube. Trên các nền tảng này, họ hiển thị các chỉ số tương tác bị thổi phồng nhờ các tài khoản giả mạo. Kết hợp với tỷ lệ phát hiện thấp trên các nền tảng bảo mật, điều này đã tạo ra một ảo ảnh thuyết phục về tính hợp pháp, khiến ngay cả những người dùng cẩn trọng cũng có thể mắc bẫy.
Kỹ thuật bóp méo thông tin và tạo độ tin cậy
Tác nhân đe dọa điều hành ít nhất sáu tài khoản GitHub, bao gồm Decryptor-j, crash-predictor1 và roblox-script1. Họ sử dụng các mạng lưới ảo (Ghost Networks) để thổi phồng số sao (stars) và lượt fork của các kho lưu trữ một cách giả tạo. Một kho lưu trữ hiển thị 146 sao và 62 lượt fork, tất cả đều có khả năng được tạo ra bởi các tài khoản giả mạo phối hợp.
Thống kê tải xuống đáng ngờ
Chỉ riêng từ GitHub, các nhà nghiên cứu đã ghi nhận hơn 5.000 lượt tải xuống, với hơn 1.250 lượt liên quan đến công cụ “Aviator Predictor” trên macOS. SourceForge báo cáo một con số tương tự với 44.485 lượt tải xuống, mặc dù phần lớn trong số đó có vẻ đáng ngờ. Một tỷ lệ lớn lượt tải đến từ các thiết bị Android, mặc dù chỉ có phiên bản Windows và macOS tồn tại. Điều này mạnh mẽ gợi ý rằng một trang trại thiết bị Android đã được sử dụng để thổi phồng số lượt tải một cách giả tạo.
Thao túng kết quả trên VirusTotal
Sự lừa dối còn mở rộng sang VirusTotal, nơi một số mẫu mã độc nhận được các lượt bình chọn tích cực và nhận xét “an toàn” từ cộng đồng. Check Point Research lưu ý rằng việc thao túng nhận thức này, khi kết hợp với tỷ lệ phát hiện của phần mềm chống virus vốn đã thấp, có thể đánh lừa cả người dùng và các hệ thống phát hiện dựa trên danh tiếng tự động. Kết quả không thực sự làm cho một tệp trở nên an toàn hơn, nhưng nó tạo ra ấn tượng như vậy, và điều đó là đủ.
Cơ chế hoạt động của Mã độc
Phiên bản Windows
Trên Windows, nạn nhân tải xuống một tệp ZIP và chạy một tệp như SniperBot_Premium(Free).exe. Đây là một bộ tải .NET thực thi một cách âm thầm một tệp ẩn có tên silkebin.exe, chính là công cụ chiếm quyền điều khiển clipboard được xây dựng bằng Rust. Mã độc tự cài đặt vào một thư mục khởi động, đảm bảo nó sẽ tự động chạy mỗi khi hệ thống khởi động. Mã độc giám sát các thay đổi trên clipboard và kiểm tra xem văn bản được sao chép có khớp với một địa chỉ tiền điện tử hay không bằng cách sử dụng các biểu thức chính quy (regular expressions) cho Bitcoin, Ethereum, Litecoin, Tron, XRP, Monero, Cardano, Dogecoin và nhiều loại khác.
Phiên bản macOS
Trên macOS, nạn nhân được hướng dẫn chạy unlocker.command, lệnh này sẽ gỡ bỏ các cảnh báo bảo mật của macOS và tự động khởi chạy ứng dụng độc hại. Phiên bản này cài đặt một LaunchAgent để duy trì sự tồn tại và bao gồm một vòng lặp giám sát tự phục hồi (self-healing watchdog loop) liên tục ghi đè lại các tệp của chính nó, khiến việc gỡ bỏ trở nên cực kỳ khó khăn nếu không tiêu diệt tiến trình đang hoạt động trước tiên.
Hoán đổi địa chỉ ví tiền điện tử
Khi phát hiện một địa chỉ khớp, mã độc sẽ âm thầm thay thế địa chỉ đó bằng một địa chỉ được lấy từ danh sách hơn 15.500 ví do kẻ tấn công kiểm soát. Các ví này được xoay vòng thường xuyên, với các địa chỉ đã sử dụng được thay thế bằng địa chỉ mới sau mỗi giao dịch hoàn tất. Việc theo dõi các địa chỉ ví tiền điện tử này là một phần quan trọng của threat intelligence để phát hiện sớm các hoạt động bất thường.
Các biện pháp phòng ngừa và chỉ số xâm nhập (IOCs)
Người dùng được khuyến cáo mạnh mẽ tránh tải xuống bất kỳ công cụ nào hứa hẹn lợi nhuận giao dịch tự động hoặc các lối tắt cờ bạc từ các nguồn không chính thức. Luôn xác minh từng địa chỉ ví một cách cẩn thận trước khi gửi bất kỳ khoản tiền điện tử nào, và không bao giờ tin tưởng một tệp chỉ dựa trên số lượng sao trên GitHub, số lượt tải xuống hoặc nhận xét của cộng đồng trên VirusTotal. Việc áp dụng các biện pháp an toàn mạng là cần thiết để bảo vệ tài sản.
Các Chỉ số Xâm nhập (Indicators of Compromise – IoCs)
- GitHub Accounts:
Decryptor-j,crash-predictor1,roblox-script1 - Malware Names:
silkebin.exe(Rust clipboard hijacker),SniperBot_Premium(Free).exe(.NET loader) - Persistence Mechanisms: Startup folder (Windows), LaunchAgent (macOS)
- Targeted Cryptocurrencies (regex matching): Bitcoin, Ethereum, Litecoin, Tron, XRP, Monero, Cardano, Dogecoin, etc.
- Wallet Rotation: Frequent rotation of attacker-controlled wallets (over 15,500 known)
- Platform Abuse: WordPress phishing site, GitHub, SourceForge, YouTube, VirusTotal
Lưu ý: Địa chỉ IP và tên miền được làm sạch (ví dụ: [.]) để ngăn chặn phân giải hoặc tạo siêu liên kết ngoài ý muốn. Chỉ phục hồi định dạng đầy đủ (re-fang) trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Nghiên cứu này nhấn mạnh tầm quan trọng của việc xác minh nguồn gốc và danh tiếng của phần mềm, đặc biệt là trong lĩnh vực tài sản kỹ thuật số. Các kỹ thuật xã hội tinh vi có thể vượt qua các biện pháp bảo mật kỹ thuật truyền thống, làm nổi bật nhu cầu về nhận thức và cảnh giác liên tục từ phía người dùng. Việc cập nhật các biện pháp an toàn dữ liệu và thực hành tốt nhất về bảo mật thông tin là điều cần thiết.
