Nguyễn Tiến Đạt
Intern Writer
Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch phát tán phần mềm độc hại tinh vi, trong đó tin tặc không chỉ dựa vào kỹ thuật che giấu mã độc mà còn xây dựng cả một hệ sinh thái danh tiếng giả nhằm đánh lừa người dùng. Theo nghiên cứu mới từ Check Point Research, chiến dịch này sử dụng các bài viết quảng bá trên các trang tin tức hợp pháp, tài khoản GitHub giả mạo, kênh YouTube với giọng đọc AI và thậm chí thao túng các đánh giá trên VirusTotal để tạo dựng lòng tin trước khi phát tán phần mềm độc hại.
Tuy nhiên, phía sau những lời hứa hẹn hấp dẫn này là một loại mã độc Crypto Clipper được thiết kế để đánh cắp tài sản số của nạn nhân.
Khi phát hiện một địa chỉ ví tiền điện tử được sao chép, phần mềm độc hại sẽ tự động thay thế bằng địa chỉ ví do kẻ tấn công kiểm soát. Nếu người dùng không kiểm tra kỹ trước khi thực hiện giao dịch, số tiền sẽ được chuyển trực tiếp đến ví của tin tặc và gần như không thể thu hồi.
Theo báo cáo, mã độc được viết bằng ngôn ngữ Rust và có khả năng hoạt động trên cả hệ điều hành Windows lẫn macOS.
Nhóm tấn công đã vận hành nhiều tài khoản giả mạo trên GitHub nhằm quảng bá chéo các kho lưu trữ chứa mã độc. Một số dự án ghi nhận hàng trăm lượt đánh dấu sao và hàng chục lượt sao chép, tạo cảm giác đây là các công cụ được cộng đồng sử dụng rộng rãi.
Trên SourceForge, các chuyên gia phát hiện số lượt tải xuống bị thổi phồng một cách bất thường. Đáng chú ý, phần lớn lượt tải nghi vấn đến từ thiết bị Android dù phần mềm chỉ hỗ trợ Windows và macOS. Điều này cho thấy khả năng tin tặc sử dụng mạng bot để tạo ra lượng tải giả nhằm tăng mức độ tin cậy.
Đối với nhiều người dùng, VirusTotal được xem như một nguồn tham khảo đáng tin cậy trước khi tải xuống hoặc thực thi một tệp tin. Việc thao túng hệ thống đánh giá này giúp tin tặc làm giảm sự nghi ngờ và gia tăng khả năng nạn nhân tự nguyện cài đặt mã độc.
Sự kết hợp giữa nội dung video, bình luận tích cực và các chỉ số tương tác khiến nhiều người dùng tin rằng đây là những công cụ hợp pháp.
Các chuyên gia nhận định đây là dấu hiệu cho thấy tội phạm mạng đang chuyển từ việc đơn thuần phát tán mã độc sang xây dựng các chiến dịch tiếp thị hoàn chỉnh nhằm thao túng nhận thức của người dùng.
Đối với các giao dịch tiền điện tử, người dùng nên kiểm tra kỹ địa chỉ ví sau khi dán, đối chiếu ít nhất một vài ký tự đầu và cuối trước khi xác nhận giao dịch. Ngoài ra, việc sử dụng ví phần cứng và các giải pháp bảo mật uy tín cũng giúp giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công Crypto Clipper.
Chiến dịch mới được phát hiện cho thấy một xu hướng đáng lo ngại: trong tương lai, tin tặc có thể tiếp tục sử dụng các kỹ thuật xây dựng danh tiếng giả để phát tán các loại mã độc nguy hiểm hơn như phần mềm đánh cắp thông tin, trojan ngân hàng hoặc ransomware. Khi đó, mục tiêu không chỉ là vượt qua các giải pháp bảo mật mà còn là thao túng chính niềm tin của người dùng trên Internet
Mục tiêu là người dùng tiền điện tử
Nhóm tấn công chủ yếu nhắm vào những người đang tìm kiếm các công cụ hỗ trợ giao dịch tiền điện tử hoặc các ứng dụng giúp kiếm lợi nhuận nhanh chóng. Các phần mềm được quảng bá dưới dạng bot giao dịch Solana, bot "sniper" dành cho Pump.fun hay các công cụ dự đoán kết quả trò chơi cờ bạc trực tuyến.Tuy nhiên, phía sau những lời hứa hẹn hấp dẫn này là một loại mã độc Crypto Clipper được thiết kế để đánh cắp tài sản số của nạn nhân.
Crypto Clipper hoạt động như thế nào?
Khác với các phần mềm đánh cắp thông tin truyền thống, Crypto Clipper không cần lấy cắp mật khẩu hay khóa riêng tư của ví tiền điện tử. Thay vào đó, mã độc liên tục theo dõi bộ nhớ tạm (clipboard) trên thiết bị của người dùng.Khi phát hiện một địa chỉ ví tiền điện tử được sao chép, phần mềm độc hại sẽ tự động thay thế bằng địa chỉ ví do kẻ tấn công kiểm soát. Nếu người dùng không kiểm tra kỹ trước khi thực hiện giao dịch, số tiền sẽ được chuyển trực tiếp đến ví của tin tặc và gần như không thể thu hồi.
Theo báo cáo, mã độc được viết bằng ngôn ngữ Rust và có khả năng hoạt động trên cả hệ điều hành Windows lẫn macOS.
Xây dựng “nền kinh tế danh tiếng giả”
Điểm đáng chú ý nhất của chiến dịch không nằm ở kỹ thuật mã độc mà ở cách tin tặc tạo dựng lòng tin trên Internet.Nhóm tấn công đã vận hành nhiều tài khoản giả mạo trên GitHub nhằm quảng bá chéo các kho lưu trữ chứa mã độc. Một số dự án ghi nhận hàng trăm lượt đánh dấu sao và hàng chục lượt sao chép, tạo cảm giác đây là các công cụ được cộng đồng sử dụng rộng rãi.
Trên SourceForge, các chuyên gia phát hiện số lượt tải xuống bị thổi phồng một cách bất thường. Đáng chú ý, phần lớn lượt tải nghi vấn đến từ thiết bị Android dù phần mềm chỉ hỗ trợ Windows và macOS. Điều này cho thấy khả năng tin tặc sử dụng mạng bot để tạo ra lượng tải giả nhằm tăng mức độ tin cậy.
Thao túng đánh giá trên VirusTotal
Không dừng lại ở đó, kẻ tấn công còn tổ chức các hoạt động phối hợp trên VirusTotal. Thông qua nhiều tài khoản khác nhau, chúng liên tục đăng các bình luận tích cực và bỏ phiếu đánh giá các tệp độc hại là an toàn.Đối với nhiều người dùng, VirusTotal được xem như một nguồn tham khảo đáng tin cậy trước khi tải xuống hoặc thực thi một tệp tin. Việc thao túng hệ thống đánh giá này giúp tin tặc làm giảm sự nghi ngờ và gia tăng khả năng nạn nhân tự nguyện cài đặt mã độc.
YouTube và AI trở thành công cụ tiếp thị
Chiến dịch còn sử dụng một kênh YouTube với hơn 90.000 người đăng ký để quảng bá các phần mềm độc hại. Các video hướng dẫn được sản xuất chuyên nghiệp với giọng đọc do AI tạo ra, đi kèm hàng loạt bình luận tích cực nhằm tạo cảm giác rằng phần mềm đã được nhiều người sử dụng thành công.Sự kết hợp giữa nội dung video, bình luận tích cực và các chỉ số tương tác khiến nhiều người dùng tin rằng đây là những công cụ hợp pháp.
Xuất hiện trên các trang tin tức hợp pháp
Một trong những chiến thuật đáng chú ý nhất là việc sử dụng các dịch vụ phát hành thông cáo báo chí để quảng bá phần mềm. Sau khi được phát hành, các nội dung này tiếp tục xuất hiện trên nhiều trang tin tức đối tác, giúp tên tuổi của công cụ độc hại xuất hiện trên các kết quả tìm kiếm và tăng thêm vẻ ngoài hợp pháp.
Các chuyên gia nhận định đây là dấu hiệu cho thấy tội phạm mạng đang chuyển từ việc đơn thuần phát tán mã độc sang xây dựng các chiến dịch tiếp thị hoàn chỉnh nhằm thao túng nhận thức của người dùng.
Người dùng cần làm gì để tự bảo vệ?
Trước thực trạng trên, người dùng cần thận trọng hơn khi đánh giá độ tin cậy của một phần mềm. Số lượng sao trên GitHub, lượt tải xuống hay các bình luận tích cực không còn là những chỉ số đủ để xác minh tính an toàn.Đối với các giao dịch tiền điện tử, người dùng nên kiểm tra kỹ địa chỉ ví sau khi dán, đối chiếu ít nhất một vài ký tự đầu và cuối trước khi xác nhận giao dịch. Ngoài ra, việc sử dụng ví phần cứng và các giải pháp bảo mật uy tín cũng giúp giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công Crypto Clipper.
Chiến dịch mới được phát hiện cho thấy một xu hướng đáng lo ngại: trong tương lai, tin tặc có thể tiếp tục sử dụng các kỹ thuật xây dựng danh tiếng giả để phát tán các loại mã độc nguy hiểm hơn như phần mềm đánh cắp thông tin, trojan ngân hàng hoặc ransomware. Khi đó, mục tiêu không chỉ là vượt qua các giải pháp bảo mật mà còn là thao túng chính niềm tin của người dùng trên Internet
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
