Một framework phát triển mã nguồn mở của Trung Quốc đã trở thành công cụ chính đằng sau một trong những mạng lưới lừa đảo lớn nhất từng được ghi nhận. Được biết đến với tên gọi DCloud Uni-App, bộ công cụ đa nền tảng này ban đầu được thiết kế cho việc phát triển ứng dụng hợp pháp, nhưng đã bị tội phạm mạng tái sử dụng để vận hành một hệ thống phức tạp bao gồm các sàn giao dịch tiền điện tử giả mạo, trang web lừa đảo (phishing) và các bẫy đầu tư. Hơn 236.000 tên miền cấp hai giả mạo đã được liên kết với framework duy nhất này, biến nó thành một trong những công cụ phát triển bị lạm dụng nhiều nhất trong lịch sử tội phạm mạng gần đây. Khai thác zero-day có thể ẩn mình trong các công cụ này là một mối đe dọa đáng kể.
Bối Cảnh Hình Thành Mạng Lưới Lừa Đảo
Quy mô của mối đe dọa này trở nên rõ ràng sau vụ bê bối RainbowEx năm 2024, thu hút sự chú ý quốc tế khi hàng nghìn cư dân tại thị trấn nhỏ San Pedro, Argentina, bị lừa đảo thông qua một nền tảng tiền điện tử giả mạo. RainbowEx được xây dựng bằng DCloud Uni-App, và phát hiện này đã mở ra cánh cửa cho một cuộc điều tra sâu rộng hơn. Các nhà nghiên cứu nhận thấy rằng nền tảng này không phải là một trường hợp cá biệt, mà là phần nổi của một cơ sở hạ tầng tội phạm có tổ chức và hoạt động xuyên biên giới.
Phạm Vi và Quy Mô Lạm Dụng DCloud Uni-App
Các nhà phân tích từ Infoblox đã báo cáo rằng framework DCloud Uni-App là nền tảng cho ít nhất 236.493 tên miền cấp hai riêng biệt, hoạt động như cơ sở hạ tầng lừa đảo. Các nhà nghiên cứu cũng làm rõ rằng DCloud tự nó không tham gia vào bất kỳ hoạt động gian lận nào. Đây là một công ty phần mềm hợp pháp của Trung Quốc và framework này được hàng nghìn doanh nghiệp trên đại lục Trung Quốc sử dụng rộng rãi. Việc lạm dụng hoàn toàn là công việc của các tác nhân xấu đã chọn bộ công cụ này làm nền tảng ưa thích cho các hoạt động gian lận quy mô lớn.
Tầm ảnh hưởng của hệ sinh thái lừa đảo này mang tính toàn cầu và đa ngôn ngữ, nhắm mục tiêu vào người nói ít nhất tám ngôn ngữ, giả mạo các sàn giao dịch chứng khoán lớn và rút tiền điện tử từ những người dùng không cảnh giác. Sau khi vụ bê bối RainbowEx bùng nổ trên quốc tế vào tháng 10 năm 2024, các trang web lừa đảo mới sử dụng DCloud đã tăng lên khoảng 15.000 mỗi tháng vào thời kỳ đỉnh điểm. Sự gia tăng đột ngột này cho thấy nhận thức trong giới tội phạm mạng chỉ đẩy nhanh việc áp dụng framework này trong số các nhà điều hành gian lận trên toàn thế giới.
Các Hình Thức Lừa Đảo Phổ Biến
Lừa Đảo Đầu Tư Mạo Danh
Các trang web lừa đảo đầu tư theo phong cách RainbowEx chiếm danh mục lớn nhất trong mạng lưới DCloud. Các nền tảng này giả mạo các sàn giao dịch tiền điện tử nổi tiếng hoặc sử dụng tên hư cấu như DawnEx hoặc CoinXPro để tạo vẻ hợp pháp mà không vi phạm nhãn hiệu đã đăng ký. Nạn nhân được hiển thị hoạt động giao dịch bịa đặt sau khi gửi tiền thông qua Tether hoặc các stablecoin khác, và khi họ cố gắng rút tiền, số tiền sẽ biến mất.
Hoạt Động Thực Tế Liên Quan
Hai hoạt động trong thế giới thực cũng liên kết trở lại với cơ sở hạ tầng này. Lightning Shared Scooter Co. đã lừa đảo các nhà đầu tư tại Hoa Kỳ thông qua một cổng thông tin do Uni-App cung cấp, hứa hẹn doanh thu thụ động thông qua mô hình kinh doanh chia sẻ xe tay ga. Một hoạt động tương tự, Yuechi Sharing Technology Ltd., hoạt động tại Úc, New Zealand và Hoa Kỳ, cũng được xây dựng trên cùng một framework, với các tài liệu đăng ký trông hợp pháp che đậy mối liên hệ của nó với một mạng lưới lừa đảo phức tạp hơn.
Lừa Đảo Phishing WhatsApp
Ngoài lừa đảo tiền điện tử, các tác nhân đe dọa còn sử dụng DCloud để xây dựng các trang web lừa đảo WhatsApp trên quy mô lớn. Các mẫu này bắt chước Trung tâm trợ giúp bảo mật WhatsApp hoặc các giao diện đáng tin cậy tương tự để lừa người dùng cung cấp thông tin đăng nhập và quyền truy cập tài khoản. Bảy tên miền lừa đảo theo chủ đề WhatsApp sử dụng các biến thể như whatsapzentr.com và whatsaprs.vipl đã được quan sát thấy đang hoạt động trong năm qua, với một trang web trình bày dưới dạng nền tảng đăng nhập và xác minh chung.
Nhiều trang lừa đảo này trông đơn giản một cách gây hiểu lầm, có ảnh nền có sẵn, các trường nhập liệu cơ bản và một vài liên kết mạng xã hội. Sự đơn giản đó mang tính chiến lược vì một trang web sạch sẽ, không đáng ngờ sẽ giảm thiểu khả năng khách truy cập rời đi trước khi tương tác với trang. Nạn nhân sau đó được yêu cầu kết nối hoặc xác minh ví tiền điện tử, điều này sẽ kích hoạt quy trình xác minh BNB Chain hoặc Tether trước khi ví đã kết nối bị rút cạn một cách lặng lẽ.
Khuyến Nghị Bảo Mật
Các nhà nghiên cứu Infoblox khuyến nghị các tổ chức chặn các dấu vân tay kỹ thuật DCloud đã biết ở cấp độ DNS để tách biệt các trang web lừa đảo độc hại khỏi các trang web hợp pháp. Các nền tảng bảo vệ dựa trên DNS tích hợp thông tin này có thể tự động gắn cờ các mối đe dọa này và bảo vệ người dùng trên nhiều ngành khác nhau. Trong hai năm qua, các trang web lừa đảo được xây dựng trên DCloud đã mở rộng đáng kể, và việc theo dõi các mẫu sở hữu chung trên toàn bộ hệ sinh thái này hiện đã bị trì hoãn từ lâu.
Các Chỉ Số Khả Nghi (IoC)
Lưu ý: Địa chỉ IP và tên miền cố tình bị làm cho vô hiệu (ví dụ: [.]) để ngăn chặn việc phân giải hoặc tạo liên kết tự động. Chỉ khôi phục lại định dạng ban đầu trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Tên miền giả mạo (Phishing Domains):
- whatsapzentr[.]com
- whatsaprs[.]vipl
Lĩnh vực liên quan đến lừa đảo đầu tư:
- Các tên miền giả mạo các sàn giao dịch tiền điện tử như RainbowEx, DawnEx, CoinXPro.
Tổ chức và mô hình kinh doanh bị mạo danh:
- Lightning Shared Scooter Co.
- Yuechi Sharing Technology Ltd.
Nâng cao khả năng phòng thủ chủ động của bạn trước các cuộc tấn công. Truy cập 5 chiến thuật săn lùng mối đe dọa đã được chứng minh mà bạn có thể triển khai trong SOC của mình.
