Cộng đồng Pi Network đã hân hoan kỷ niệm sự kiện Pi2Day, một cột mốc thường gắn liền với các bản cập nhật nền tảng, ra mắt tính năng và những thành tựu quan trọng. Tuy nhiên, lễ kỷ niệm năm nay đã bị lu mờ bởi một làn sóng tấn công mạng nguy hiểm, cho thấy sự gia tăng tinh vi của các chiến dịch lừa đảo trong không gian tiền điện tử.
Chiến dịch Tấn công "Pi2Day" Khai thác Lòng tin
Các tác nhân độc hại đã tận dụng sự cường điệu của sự kiện Pi2Day để triển khai một chiến dịch quảng cáo lừa đảo trên Facebook. Mục tiêu chính là đánh lừa những người dùng không cảnh giác bằng các âm mưu lừa đảo (phishing scams) và phát tán phần mềm độc hại (malware distribution). Theo nghiên cứu của nhà phân tích từ Bitdefender Labs, những cuộc tấn công này là một phần của một chiến dịch rộng lớn, đang diễn ra liên tục, lợi dụng lòng tin vào các thương hiệu và nền tảng tiền điện tử phổ biến.
Chiến dịch bắt đầu vào ngày 24 tháng 6, bao gồm hơn 140 biến thể của các quảng cáo lừa đảo. Những quảng cáo này sử dụng thương hiệu và hình ảnh quen thuộc của Pi Network, nhắm mục tiêu đến người dùng ở nhiều khu vực như Hoa Kỳ, Châu Âu, Úc, Trung Quốc, Việt Nam, Ấn Độ và Philippines. Chúng chuyển hướng lưu lượng truy cập đến các trang web lừa đảo và ứng dụng độc hại. Mục tiêu chính của các tác nhân đe dọa này là đánh cắp cụm từ khôi phục ví tiền điện tử (cryptocurrency wallet recovery phrases) và triển khai phần mềm độc hại để chiếm quyền kiểm soát hệ thống của người dùng.
Sự tinh vi và quy mô của chiến dịch cho thấy một nỗ lực phối hợp từ một nhóm tác nhân đe dọa duy nhất. Nhóm này sử dụng các mẫu cơ sở hạ tầng và kỹ thuật né tránh giống hệt nhau trên nhiều sơ đồ gian lận song song trên nền tảng của Meta.
Phân tích Kỹ thuật về Các Kỹ thuật Tấn công
Kỹ thuật Phishing: Chiếm đoạt Cụm từ Khôi phục Ví
Một trong những chiến thuật quan trọng trong chiến dịch này liên quan đến các trang phishing được thiết kế để giả mạo cổng ví Pi Wallet chính thức. Các trang web giả mạo này lôi kéo người dùng bằng những lời hứa hẹn nhận 628 token Pi hoặc truy cập vào các sự kiện airdrop độc quyền. Để làm được điều này, chúng lừa người dùng nhập cụm từ khôi phục 24 từ của họ.
Khi người dùng gửi cụm từ này, kẻ tấn công sẽ có toàn quyền kiểm soát ví của nạn nhân, cho phép chúng thực hiện chuyển tiền ngay lập tức. Phương pháp này đặc biệt nguy hiểm vì nó nhắm vào sự thiếu kinh nghiệm của nhiều người dùng Pi Network, những người có thể chưa hiểu tầm quan trọng của việc giữ bí mật cụm từ khôi phục hoặc không nhận ra rằng ngay cả các quảng cáo Facebook có vẻ đã được xác minh cũng có thể là lừa đảo.
Phát tán Malware: Ứng dụng "Đào Pi" Giả mạo
Song song với các cuộc tấn công phishing, kẻ tấn công đang phát tán phần mềm độc hại thông qua các "ứng dụng đào Pi" giả mạo và phần mềm "nhận thưởng" hứa hẹn các khoản tiền thưởng 31.4 PI. Các ứng dụng này, thường được ngụy trang dưới dạng trình cài đặt cho hệ thống máy tính để bàn, chứa các tải trọng độc hại được Bitdefender xác định là Generic.MSIL.WMITask và Generic.JS.WMITask.
Các chủng phần mềm độc hại này, từng được ghi nhận trong nghiên cứu vào tháng 5 năm 2025, là các loại malware đa giai đoạn (multi-stage malware) có khả năng:
- Đánh cắp thông tin đăng nhập đã lưu (stealing saved credentials).
- Ghi lại các thao tác gõ phím (logging keystrokes).
- Tải xuống các thành phần độc hại bổ sung.
- Né tránh phát hiện thông qua các kỹ thuật che giấu mã (obfuscation) và né tránh môi trường phân tích (sandbox evasion techniques).
Sự kết hợp giữa kỹ thuật xã hội (social engineering) với các bộ đếm thời gian phần thưởng khẩn cấp và sức hấp dẫn của việc "đào Pi" dễ dàng – đặc điểm nổi bật của Pi Network – khiến chiến dịch này đặc biệt nguy hiểm đối với những người dùng mới chưa quen với các phương pháp bảo mật tiền điện tử.
Mối liên hệ với các Chiến dịch Lừa đảo Khác
Phân tích của Bitdefender Labs cũng liên kết vụ lừa đảo Pi2Day này với các chiến dịch gian lận khác khai thác các nền tảng như Binance và TradingView. Các hoạt động này có những đặc điểm chung: chúng lợi dụng lòng tin vào các nền tảng nổi tiếng, sử dụng các quảng cáo Facebook lừa đảo để chuyển hướng lưu lượng truy cập đến các đích độc hại và triển khai cùng một chủng malware đa giai đoạn.
Sự hội tụ về chiến thuật và cơ sở hạ tầng này cho thấy rõ ràng rằng một nhóm có tổ chức duy nhất đang dàn dựng những nỗ lực này để tối đa hóa phạm vi tiếp cận và lợi ích tài chính.
Các IOCs (Indicators of Compromise) Chính
Dựa trên thông tin phân tích, các chỉ số thỏa hiệp (IOCs) liên quan đến chiến dịch này bao gồm:
- Loại hình tấn công:
- Chiến dịch quảng cáo độc hại trên Facebook (Malicious Facebook Ad Campaigns).
- Trang web lừa đảo giả mạo cổng ví Pi Wallet (Phishing Websites mimicking Pi Wallet Portals).
- Ứng dụng đào/nhận thưởng Pi giả mạo (Fake Pi "Mining Apps" and "Claim" Software).
- Malware (Phần mềm độc hại):
- Generic.MSIL.WMITask
- Generic.JS.WMITask
- Mục tiêu: Đánh cắp cụm từ khôi phục ví tiền điện tử, chiếm đoạt thông tin đăng nhập, ghi lại thao tác gõ phím.
Bài học và Biện pháp Phòng ngừa
Việc sử dụng hệ sinh thái quảng cáo của Meta làm véc-tơ tấn công chính đã làm nổi bật một lỗ hổng nghiêm trọng trong cách các nền tảng truyền thông xã hội có thể bị vũ khí hóa để chống lại người dùng, đặc biệt là trong các sự kiện nổi bật như Pi2Day. Khi việc áp dụng tiền điện tử ngày càng tăng, những vụ lừa đảo như vậy nhấn mạnh nhu cầu cấp thiết về giáo dục người dùng về an ninh mạng (digital security) và tầm quan trọng của việc giám sát nền tảng mạnh mẽ để ngăn chặn quảng cáo độc hại.
Để tự bảo vệ mình, người dùng cần luôn cảnh giác và thực hiện các biện pháp sau:
- Kiểm tra kỹ URL: Luôn xác minh rằng bạn đang truy cập trang web chính thức bằng cách kiểm tra địa chỉ URL trước khi nhập bất kỳ thông tin nhạy cảm nào.
- Cẩn trọng với quảng cáo: Không tin tưởng hoàn toàn vào các quảng cáo trên mạng xã hội, ngay cả khi chúng có vẻ hợp pháp. Luôn truy cập trực tiếp các trang web chính thức thay vì nhấp vào các liên kết quảng cáo.
- Bảo mật cụm từ khôi phục: Không bao giờ chia sẻ cụm từ khôi phục ví của bạn với bất kỳ ai hoặc nhập nó vào bất kỳ trang web/ứng dụng nào không phải là ví chính thức và đáng tin cậy của bạn.
- Xác minh ứng dụng: Chỉ tải xuống ứng dụng từ các nguồn chính thức và đã được xác minh (ví dụ: cửa hàng ứng dụng chính thức, trang web dự án). Tránh các tệp cài đặt từ các nguồn không xác định.
- Sử dụng phần mềm bảo mật: Đảm bảo hệ thống của bạn được bảo vệ bởi phần mềm diệt virus và phần mềm bảo mật cập nhật để phát hiện và ngăn chặn malware.
