Công ty an ninh mạng Darktrace đã phát hiện một chiến dịch kỹ thuật xã hội phức tạp và dai dẳng, nhắm mục tiêu vào người dùng Bitcoin. Chiến dịch này được xây dựng dựa trên những phát hiện trước đó của Cado Security Labs vào tháng 12 năm 2024.
Chi Tiết Kỹ Thuật Xã Hội và Gia Tăng Độ Tin Cậy
Các tác nhân đe dọa đang tạo ra những công ty khởi nghiệp giả mạo được thiết kế tỉ mỉ, xoay quanh các chủ đề như Trí tuệ Nhân tạo (AI), Gaming, Video Conferencing, Web3 và Social Media. Mục tiêu của chúng là dụ dỗ nạn nhân tải xuống mã độc được ngụy trang thành phần mềm hợp pháp.
Các hoạt động này, gợi nhớ đến chiến dịch Meeten trước đây, bao gồm việc thỏa hiệp các tài khoản X (trước đây là Twitter) đã được xác minh để tăng cường độ tin cậy. Đồng thời, chúng cũng tận dụng các nền tảng như Notion, Medium và GitHub để đăng tải các tài liệu giả mạo như whitepaper, lộ trình phát triển và hồ sơ nhân viên.
Bằng cách bắt chước các công ty phần mềm thật, chúng tạo ra một mặt nạ thuyết phục để tối đa hóa tỷ lệ lây nhiễm. Điều này bao gồm việc xây dựng các trang web chuyên nghiệp, sử dụng ảnh hội nghị giả mạo, chỉnh sửa hình ảnh gameplay từ các tựa game hiện có như “Zombie Within”, và thậm chí là thiết lập các cửa hàng bán đồ lưu niệm giả mạo.
Tiếp Cận Ban Đầu
Các chiến dịch thường bắt đầu thông qua tin nhắn trực tiếp trên X, Telegram hoặc Discord. Kẻ tấn công sẽ chào mời thanh toán bằng tiền mã hóa để đổi lấy việc thử nghiệm các phần mềm beta được cho là hợp pháp. Sau khi nạn nhân nhập mã đăng ký được cung cấp, họ sẽ được dẫn đến việc tải xuống các tệp nhị phân dành riêng cho từng nền tảng.
Cơ Chế Lây Nhiễm Mã Độc trên Hệ Điều Hành Windows
Đối với người dùng Windows, mã độc được phân phối dưới dạng một ứng dụng dựa trên Electron. Electron là một framework mã nguồn mở cho phép đóng gói các ứng dụng JavaScript thành các tệp thực thi trên máy tính để bàn.
Thu Thập Thông Tin và Giao Tiếp Ban Đầu
Khi khởi chạy, ứng dụng hiển thị một màn hình xác minh Cloudflare giả mạo. Trong khi đó, nó bí mật thu thập thông tin cấu hình hệ thống (system profiling), bao gồm các chi tiết như:
- Tên người dùng (username)
- Số lõi CPU (CPU cores)
- Dung lượng RAM
- Phiên bản hệ điều hành (OS version)
- Địa chỉ MAC (MAC address)
- Card đồ họa (graphics card)
- UUID
Một token CAPTCHA được trích xuất và gửi đến các máy chủ Command-and-Control (C2) cùng với dữ liệu hệ thống này để xác thực.
Tải Xuống và Thực Thi Giai Đoạn Hai
Quá trình xác minh thành công sẽ kích hoạt việc tải xuống và thực thi âm thầm một tệp executable (.exe) hoặc MSI. Các tệp này thường được ký bằng chứng chỉ đánh cắp từ các thực thể như Jiangyin Fengyuan Electronics Co., Ltd. và Paperbucketmdb ApS (hiện đã bị thu hồi), điều này giúp chúng tránh bị phát hiện bởi các hệ thống phòng thủ.
Tiếp theo, một trình thông dịch Python sẽ được tải về và lưu trữ trong các thư mục tạm thời. Các lệnh được điều phối bởi C2 sẽ tạo điều kiện cho việc triển khai các mã độc đánh cắp thông tin (info-stealers) nhắm mục tiêu vào:
- Ví tiền mã hóa (crypto wallets)
- Dữ liệu trình duyệt (browser data)
- Thông tin đăng nhập (credentials)
Biện Pháp Chống Phân Tích
Mã độc còn tích hợp các biện pháp chống phân tích, bao gồm kỹ thuật che giấu mã (obfuscation) và chống sandbox (anti-sandboxing), nhằm làm phức tạp quá trình phát hiện và phân tích mã độc.
Cơ Chế Lây Nhiễm Mã Độc trên Hệ Điều Hành macOS
Trên macOS, nạn nhân nhận được một tệp DMG chứa một script Bash bị che giấu. Script này sử dụng kết hợp các kỹ thuật như junk code, mã hóa Base64 và mã hóa XOR obfuscation. Nó tận dụng AppleScript để gắn kết (mount) và thực thi một tệp nhị phân ẩn, một chiến thuật tương tự như những gì đã thấy trong mã độc Atomic Stealer.
Kiểm Tra Môi Trường và Trích Xuất Dữ Liệu
Tệp nhị phân này sẽ tiến hành kiểm tra chống ảo hóa (anti-virtualization checks) để phát hiện các môi trường như QEMU, VMware và Docker-OSX. Sau đó, nó sẽ trích xuất dữ liệu nhạy cảm, bao gồm:
- Ví tiền mã hóa
- Cookie
- Tài liệu
Các dữ liệu này sẽ được nén vào một tệp ZIP và gửi đến các điểm cuối C2, chẳng hạn như `45.94.47.167/contact`.
Cơ Chế Duy Trì Quyền Truy Cập
Các script bổ sung như `install.sh` và `install_dynamic.sh` được truy xuất từ các máy chủ, ví dụ: `https://mrajhhosdoahjsd.com`. Những script này thiết lập cơ chế duy trì quyền truy cập (persistence) thông qua LaunchAgents với các cấu hình RunAtLoad và KeepAlive. Điều này đảm bảo rằng mã độc sẽ tự động thực thi mỗi khi người dùng đăng nhập.
Theo Dõi Hoạt Động Người Dùng
Tệp nhị phân InstallerHelper, được viết bằng Objective-C/Swift, ghi lại các tương tác của người dùng, các ứng dụng đang hoạt động và dữ liệu cửa sổ. Nó truyền các số liệu này đến các máy chủ từ xa để phục vụ cho việc giám sát liên tục.
Liên Hệ và Phân Tích Thuộc Tính Chiến Dịch
Những chiến thuật được sử dụng trong chiến dịch này rất phù hợp với các hoạt động được quy cho các nhóm traffer như CrazyEvil, theo chi tiết được Recorded Future công bố vào đầu năm 2025.
CrazyEvil đã hoạt động từ năm 2021, chuyên về kỹ thuật xã hội nhắm vào các cá nhân có ảnh hưởng trong lĩnh vực tiền mã hóa (crypto influencers), các chuyên gia DeFi và giới game thủ. Nhóm này đã tạo ra hàng triệu đô la doanh thu bất hợp pháp thông qua các chi nhánh. Các chi nhánh này chịu trách nhiệm điều hướng lưu lượng truy cập đến các trang độc hại thông qua SEO, quảng cáo và các bản tải xuống giả mạo.
Mặc dù việc quy kết trực tiếp vẫn chưa rõ ràng, nhưng các phương pháp chia sẻ – bao gồm các công ty giả mạo, khai thác mạng xã hội và mã độc đánh cắp thông tin đa nền tảng – cho thấy một bối cảnh đe dọa đang phát triển không ngừng.
Các Chỉ Số Thỏa Hiệp (IOCs)
Nghiên cứu của Darktrace đã xác định hơn một tá các thực thể giả mạo được sử dụng trong chiến dịch này. Mỗi thực thể đều có các tên miền, tài khoản X và hàm băm (hashes) mã độc liên quan. Một số thực thể giả mạo nổi bật bao gồm:
- Pollens AI
- Buzzu
- Swox
- Eternal Decay
Chiến dịch này là một minh chứng cho mức độ mà tội phạm mạng sẵn sàng pha trộn tính hợp pháp với sự lừa dối. Nó nhấn mạnh tầm quan trọng của việc người dùng phải xác minh nghiêm ngặt các nguồn trước khi tải xuống bất kỳ phần mềm nào, đặc biệt là trong môi trường tiền mã hóa có rủi ro cao.
