5 Kỹ thuật phần mềm độc hại mới để đánh cắp tiền điện tử của bạn (2024)

Tội phạm mạng không bao giờ ngừng đổi mới và chúng đặc biệt bị thu hút bởi tiền điện tử. Có thể bạn đang vui vẻ khám phá Internet mà không biết mình sắp giẫm phải bao nhiêu bãi mìn. Luôn cẩn thận và cập nhật các xu hướng bảo mật mới nhất khi nói đến việc bảo vệ tiền điện tử của bạn không bao giờ là thừa.

Để cho bạn biết hoạt động kinh doanh xấu xa này lớn đến mức nào đối với các bên độc hại, theo Phân tích chuỗi , khoảng 24,2 tỷ đô la đã được các địa chỉ tiền điện tử bất hợp pháp nhận được vào năm 2023. Đừng trở thành một phần của con số tiếp theo! Hãy cùng xem một số kỹ thuật phần mềm độc hại mới mà bạn nên biết trong năm nay và cách tự bảo vệ mình khỏi chúng.

Một cửa hậu trong MacOS

Việc tải xuống các ứng dụng từ các trang web không chính thức không hẳn là một ý tưởng hay và đây là một ví dụ điển hình về lý do tại sao. Công ty an ninh mạng Kaspersky Lab đã phát hiện Đầu năm nay, một mối đe dọa mới nhắm vào ví tiền điện tử của người dùng macOS đã xuất hiện, được ẩn trong phần mềm lậu có sẵn trên các trang web torrent và vi phạm bản quyền.

Khi người dùng cài đặt những chương trình có vẻ miễn phí này, họ vô tình cho phép phần mềm độc hại xâm nhập vào máy tính của mình. Bước đầu tiên liên quan đến một ứng dụng có tên là "Activator", nhắc nhở người dùng cung cấp quyền truy cập quản trị. Điều này cung cấp cho phần mềm độc hại các quyền cần thiết để tự cài đặt và vô hiệu hóa chức năng bình thường của phần mềm lậu, đánh lừa người dùng nghĩ rằng họ cần Activator này để phần mềm hoạt động.

Sau khi cài đặt, phần mềm độc hại sẽ liên hệ với máy chủ từ xa để tải xuống các hướng dẫn độc hại khác. Các hướng dẫn này giúp phần mềm độc hại tạo ra một cửa hậu, cho phép tin tặc liên tục truy cập vào máy tính bị nhiễm. Mục tiêu chính của phần mềm độc hại này là đánh cắp tiền điện tử. Nó thay thế các ứng dụng ví hợp pháp như Exodus và Bitcoin-Qt bằng các phiên bản bị nhiễm.

Những ứng dụng bị thay đổi này sau đó sẽ nắm bắt thông tin nhạy cảm, chẳng hạn như cụm từ khôi phục và mật khẩu ví, và gửi chúng cho tin tặc — thực sự rút hết tiền mã hóa của bạn. Một trình cài đặt "Activator" đáng ngờ đã xuất hiện ngay sau khi bạn tải xuống ứng dụng 'miễn phí'? Đừng cấp quyền truy cập cho nó và hãy gỡ cài đặt ngay lập tức!

Vortax, Web3 Games và “Markopolo”

Chiến dịch Vortax là một hoạt động phần mềm độc hại lừa đảo nhắm vào người dùng tiền điện tử, được các nhà nghiên cứu của Recorded Future phát hiện. Những tên tội phạm mạng đứng sau kế hoạch này sử dụng các ứng dụng giả mạo nhưng có vẻ hợp pháp để lây nhiễm phần mềm độc hại đánh cắp thông tin cho cả thiết bị Windows và macOS. Đóng giả là phần mềm họp trực tuyến có tên Vortax, ứng dụng này có vẻ đáng tin cậy với trang web được lập chỉ mục bởi các công cụ tìm kiếm, blog có các bài viết do AI tạo ra và tài khoản mạng xã hội trên các nền tảng như X, Telegram và Discord. Kẻ tấn công sẽ tham gia vào các cuộc thảo luận có chủ đề về tiền điện tử với các nạn nhân tiềm năng, hướng dẫn họ tải xuống ứng dụng Vortax dưới chiêu bài tham gia một cuộc họp trực tuyến.

Sau khi người dùng làm theo hướng dẫn được cung cấp, họ sẽ được chuyển hướng đến các liên kết tải xuống cài đặt phần mềm Vortax. Tuy nhiên, thay vì một ứng dụng chức năng, các tệp cài đặt phân phối phần mềm độc hại như Rhadamanthys, Stealc hoặc Atomic Stealer (AMOS). Ứng dụng Vortax dường như không hoạt động do lỗi cố ý, trong khi ở chế độ nền, phần mềm độc hại bắt đầu đánh cắp thông tin nhạy cảm —bao gồm mật khẩu và cụm từ hạt giống. Điều tra sâu hơn cho thấy chiến dịch Vortax có liên quan đến nhiều tên miền lưu trữ các ứng dụng độc hại tương tự và trò chơi web3 giả mạo, cho thấy một nỗ lực được tổ chức tốt của tác nhân đe dọa, được xác định là Markopolo.

Chiến thuật của Markopolo bao gồm tận dụng phương tiện truyền thông xã hội và nền tảng nhắn tin để phân phối phần mềm độc hại của họ, cũng ngụy trang như các thương hiệu và trò chơi như VDeck, Mindspeak, ArgonGame, DustFighter và Astration. Chiến lược này không chỉ mở rộng phạm vi tiếp cận của chúng mà còn làm tăng khả năng người dùng bị lừa tải xuống phần mềm độc hại. Sự tinh vi và khả năng thích ứng của chiến dịch ngụ ý rằng các cuộc tấn công trong tương lai có thể trở nên phổ biến hơn nữa, làm nổi bật nhu cầu người dùng phải thận trọng khi tải xuống phần mềm của bên thứ ba, đặc biệt là nếu họ có vẻ khăng khăng một cách đáng ngờ về điều đó.

Pytoileur, một cái bẫy cho các nhà phát triển Python

Các nhà nghiên cứu của Sonatype đã phát hiện ra một mối đe dọa mới nhắm vào người dùng tiền điện tử thông qua một gói Python độc hại có tên là “pytoileur”. Được ngụy trang thành một công cụ quản lý API hợp pháp, pytoileur lừa người dùng tải xuống từ Python Package Index (PyPI). Sau khi cài đặt, gói này sẽ bí mật truy xuất và cài đặt phần mềm độc hại được thiết kế để đánh cắp tiền điện tử bằng cách truy cập thông tin nhạy cảm được lưu trữ trên thiết bị của nạn nhân.

Gói độc hại đã được ẩn khéo léo bên trong mã có vẻ vô hại. Nó đã tải xuống một tệp thực thi nguy hiểm, sau khi thực thi, sẽ thực hiện nhiều hoạt động độc hại khác nhau. Bao gồm sửa đổi cài đặt hệ thống, duy trì sự hiện diện trên thiết bị để tránh bị phát hiện và quan trọng nhất là cố gắng đánh cắp tiền điện tử từ ví và tài khoản liên kết với các dịch vụ phổ biến như Binance , Coinbase và Crypto.com . Bằng cách truy cập dữ liệu trình duyệt và các thông tin tài chính khác, phần mềm độc hại có thể hút cạn tài sản kỹ thuật số mà nạn nhân không hề hay biết.

Việc phân phối pytoileur liên quan đến các chiến thuật kỹ thuật xã hội, bao gồm khai thác các nền tảng cộng đồng như Stack Overflow để dụ các nhà phát triển tải xuống gói này với lý do giải quyết các vấn đề kỹ thuật. Sự cố này là một phần của chiến dịch "Gói tuyệt vời" rộng hơn, cho thấy tội phạm mạng đang nỗ lực nhắm mục tiêu vào người dùng tiền điện tử thông qua các phương pháp tinh vi và đang phát triển. Mend.io, một công ty bảo mật khác, đã xác định hơn 100 gói phần mềm độc hại trên thư viện PyPI.

Các nhà phát triển có thể tránh các gói độc hại bằng cách tải xuống từ các nguồn đáng tin cậy, xác minh tính toàn vẹn của gói và xem xét mã trước khi sử dụng. Việc cập nhật các khuyến cáo bảo mật và sử dụng các công cụ bảo mật tự động cũng hữu ích.

P2PInfect, mối đe dọa đang lan tràn

P2Pinfect, được Cado Security xác định, là một phần mềm độc hại tinh vi tận dụng mạng botnet ngang hàng để kiểm soát. Nói cách khác, phần mềm độc hại phát hiện xem máy tính có thuộc về một mạng hay không và lây nhiễm tất cả các thiết bị đã kết nối để giao tiếp và kiểm soát lẫn nhau trực tiếp mà không cần dựa vào máy chủ trung tâm. Ban đầu có vẻ như không hoạt động, dạng cập nhật của nó hiện bao gồm khả năng ransomware và khai thác tiền điện tử.

Khi bị nhiễm trùng , nó chủ yếu lây lan qua các lỗ hổng trong Redis, một hệ thống cơ sở dữ liệu phổ biến, cho phép phần mềm độc hại thực hiện các lệnh tùy ý và tự lan truyền trên các hệ thống được kết nối. Tính năng botnet đảm bảo phân phối nhanh chóng các bản cập nhật, duy trì một mạng lưới rộng lớn các thiết bị bị xâm phạm —ví dụ như trong toàn bộ công ty.

Nạn nhân thường gặp P2Pinfect thông qua cấu hình Redis không an toàn hoặc thông qua các nỗ lực SSH (Secure Shell) hạn chế để quản lý các hệ thống từ xa với thông tin xác thực chung. Khi hoạt động trên hệ thống của nạn nhân, P2Pinfect cài đặt một trình khai thác tiền điện tử nhắm mục tiêu vào tiền điện tử Monero. Trình khai thác này kích hoạt sau một thời gian ngắn và tạo ra tiền điện tử bằng cách sử dụng tài nguyên của hệ thống, bí mật chuyển tiền thu nhập vào ví của kẻ tấn công và làm chậm khả năng của thiết bị.

Thành phần ransomware mã hóa (chặn) các tệp và yêu cầu thanh toán bằng tiền điện tử để lấy lại chúng, mặc dù hiệu quả của nó bị hạn chế do các quyền thông thường của máy chủ Redis bị nhiễm. Ví Monero của kẻ tấn công đã tích lũy được khoảng 71 XMR, tương đương khoảng 12.400 đô la. Điều này minh họa cho thành công về mặt tài chính của chiến dịch mặc dù tác động tiềm ẩn của ransomware có thể bị hạn chế do dữ liệu giá trị thấp thông thường được Redis lưu trữ. Để tránh phần mềm độc hại này, hãy nhớ bảo mật cấu hình Redis và thường xuyên theo dõi các hoạt động bất thường.

AggrTrade giả mạo và các tiện ích mở rộng độc hại khác

Tiện ích mở rộng AggrTrade Chrome giả mạo, được mô tả bởi công ty bảo mật SlowMist, là một công cụ độc hại lừa người dùng mất một lượng tiền điện tử đáng kể. Tiện ích mở rộng này ngụy trang thành một công cụ giao dịch hợp pháp (AggrTrade) nhưng chỉ được thiết kế để đánh cắp tiền. Người dùng vô tình cài đặt nó, sau đó khai thác quyền truy cập của họ vào các sàn giao dịch tiền điện tử và nền tảng giao dịch bằng cách đánh cắp thông tin nhạy cảm —mật khẩu và thông tin đăng nhập.

Phần mở rộng hoạt động bằng cách thu thập cookie và dữ liệu phiên khác, cho phép nó bắt chước thông tin đăng nhập của người dùng và thực hiện các giao dịch trái phép. Điều này dẫn đến việc đánh cắp tổng cộng khoảng 1 triệu đô la. Nó được phân phối thông qua các chiến thuật lừa đảo thông qua phương tiện truyền thông xã hội và quảng cáo tiếp thị, dụ dỗ nạn nhân tải xuống và cài đặt, thường là từ các nguồn không chính thức hoặc đáng ngờ.

Mối đe dọa cụ thể này đã bị loại bỏ, nhưng nó chỉ là một ví dụ nhỏ nhoi trong số rất nhiều nỗ lực. Hiện tại, một số tiện ích mở rộng độc hại của Chrome đang đóng giả là dịch vụ giao dịch chính hãng nhằm mục đích đánh cắp tiền điện tử. Để bảo vệ bản thân, chỉ cài đặt tiện ích mở rộng từ các nguồn đáng tin cậy, thường xuyên kiểm tra quyền và theo dõi tài khoản của bạn để phát hiện hoạt động bất thường.

Ngoài ra, hãy nhớ rằng tất cả các tiện ích mở rộng của trình duyệt đều có thể theo dõi toàn bộ lịch sử duyệt web của bạn, xem bạn đang làm gì trên mỗi trang web và đánh cắp cookie và dữ liệu riêng tư khác. Sử dụng ví phần cứng hoặc giấy với số lượng lớn và cập nhật phần mềm bảo mật cũng có thể tăng cường khả năng bảo vệ của bạn trước các mối đe dọa như vậy.

Biện pháp bảo vệ

Để bảo vệ chống lại phần mềm độc hại đánh cắp tiền mã hóa như thế này, bạn có thể áp dụng một số biện pháp cơ bản:

• Cài đặt từ nguồn đáng tin cậy: Chỉ sử dụng tiện ích mở rộng và phần mềm từ các nguồn uy tín và trang web chính thức. Xác minh đánh giá và quyền trước khi cài đặt.
  
• Cài đặt càng ít phần mềm càng tốt: trước khi cài đặt ứng dụng hoặc tiện ích mở rộng trình duyệt khác trên máy tính để bàn, hãy suy nghĩ lại xem bạn có thực sự cần nó không. Có thể bạn có thể đạt được mục tiêu của mình với phần mềm hiện có? (Tuy nhiên, sẽ an toàn hơn trên nền tảng di động, nơi mỗi ứng dụng được bảo vệ bằng hộp cát).
  
• Kiểm tra bảo mật thường xuyên: Thường xuyên xem xét và xóa các tiện ích mở rộng hoặc phần mềm không sử dụng. Thường xuyên kiểm tra hoạt động bất thường trong tài khoản tiền điện tử của bạn (trực tuyến và ngoại tuyến) và hệ thống.
  
• Sử dụng Xác thực mạnh: Bật xác thực hai yếu tố (2FA) trên tài khoản của bạn để thêm một lớp bảo mật. Trong Ví Obyte , bạn có thể thực hiện việc này bằng cách tạo tài khoản đa thiết bị từ menu chính hoặc đặt mật khẩu chi tiêu trong cài đặt.

• Sử dụng công cụ chống phần mềm độc hại: Sử dụng công cụ chống vi-rút và phần mềm độc hại mới nhất để phát hiện và chặn các mối đe dọa trực tuyến và ngoại tuyến.
  
• Bảo vệ tiền điện tử của bạn: Lưu trữ các tài sản tiền điện tử quan trọng trong ví phần cứng hoặc ví giấy để giảm thiểu nguy cơ bị đe dọa trực tuyến. Thông qua ví Obyte, bạn có thể dễ dàng tạo ví giấy của riêng mình bằng cách tạo một đồng tiền văn bản (mười hai từ ngẫu nhiên), viết ra, sau đó xóa hoặc chặn phần mềm cho đến khi bạn cần chi tiền.

Bên trong Obyte và hơn thế nữa, hãy đảm bảo bạn đang sử dụng ví an toàn và đã xác minh và làm theo các biện pháp tốt nhất sau để bảo vệ tài sản của mình!

Hình ảnh vector nổi bật của Freepik