Duy Linh
Writer
Một chiến dịch kỹ thuật xã hội tinh vi đang lợi dụng người dẫn chuyện do AI tạo ra trên YouTube, các tài khoản ảo trên nhiều nền tảng và những tín hiệu uy tín bị thao túng để phát tán phần mềm chiếm quyền điều khiển clipboard viết bằng Rust. Mục tiêu của chiến dịch là đánh cắp tiền điện tử bằng cách thay thế địa chỉ ví trong clipboard của nạn nhân bằng địa chỉ do kẻ tấn công kiểm soát.
Chiến dịch tập trung vào một trung tâm lừa đảo WordPress chuyên quảng bá các bot “bắn tỉa”, công cụ dự đoán sự sụp đổ thị trường và các giải pháp làm giàu nhanh khác nhắm vào nhà giao dịch tiền điện tử và người chơi cờ bạc. Để tạo cảm giác hợp pháp, các đối tượng đứng sau chiến dịch xây dựng cả một hệ sinh thái tương tác giả mạo được phối hợp chặt chẽ.
Chuỗi phát tán bắt đầu từ một trang web lừa đảo được thiết kế chuyên nghiệp dưới tên người dùng @JoseCmanXD. Trang web này liên kết tới các kho lưu trữ trên GitHub, SourceForge và một kênh YouTube chuyên dụng.
Trên GitHub, kẻ điều hành sử dụng ít nhất sáu tài khoản để tương tác, gắn sao và hỗ trợ chéo cho các kho lưu trữ của nhau. Hoạt động này tạo ra hàng nghìn lượt tải xuống cùng số lượng sao và nhánh được thổi phồng, tương đồng với mô hình “Mạng lưới ma” từng được ghi nhận trước đây.
Trang web lừa đảo (Nguồn: Checkpoint).
Các trang dự án trên SourceForge cũng cho thấy dấu hiệu thao túng tương tự với số lượt tải xuống tăng bất thường và lượng đánh giá tích cực áp đảo. Đáng chú ý, phần lớn lượt tải xuống đáng ngờ được ghi nhận từ các thiết bị Android, dù tác giả chỉ cung cấp phiên bản cho Windows và macOS. Đây được xem là dấu hiệu của việc sử dụng các trang trại tải xuống để thổi phồng số liệu.
Lượt xem trên các video thường tăng đột biến mà không có nguyên nhân rõ ràng. Phần bình luận lại tràn ngập những phản hồi tích cực có dấu hiệu được phối hợp. Những tín hiệu này dẫn người dùng tới các kho lưu trữ và trung tâm lừa đảo, đồng thời củng cố cảm giác rằng các công cụ được quảng bá là phổ biến và hiệu quả.
Một số video cũ cho thấy chiến dịch từng nhắm tới cộng đồng nói tiếng Nga, cho thấy những kẻ đứng sau ban đầu tập trung vào nhóm người dùng này trước khi mở rộng phạm vi hoạt động.
Phần mềm độc hại được phát tán là các trình chiếm quyền clipboard biên dịch bằng Rust dành cho Windows và macOS.
Trên Windows, các tệp ZIP chứa trình tải .NET dùng để khởi chạy tệp nhị phân Rust. Sau khi hoạt động, malware thiết lập cơ chế duy trì trong thư mục %APPDATA%\silke và đăng ký làm trình lắng nghe clipboard thông qua các API tiêu chuẩn của Windows.
Malware liên tục quét nội dung clipboard bằng biểu thức chính quy nhằm tìm kiếm địa chỉ ví thuộc nhiều blockchain khác nhau như Bitcoin (bech32, legacy, P2SH), Ethereum/EVM, Litecoin, Tron, Cardano, Monero và nhiều nền tảng khác. Khi phát hiện địa chỉ ví, nó sẽ tự động thay thế bằng ví do kẻ tấn công kiểm soát. Phiên bản Windows chứa khoảng 15.500 địa chỉ ví được nhúng sẵn.
Kênh YouTube (Nguồn: Checkpoint).
Trên macOS, malware được phát tán bên trong một tệp .app đi kèm kịch bản “mở khóa” nhằm hướng dẫn người dùng vượt qua cơ chế bảo vệ Gatekeeper. Sau khi cài đặt, nó triển khai các tệp LaunchAgent plist và một cơ chế tự phục hồi để duy trì quyền truy cập. Malware tiếp tục theo dõi clipboard và thay thế địa chỉ ví bằng các địa chỉ được mã hóa cứng của kẻ tấn công.
Tỷ lệ phát hiện thấp từ các phần mềm chống virus kết hợp với những đánh giá tích cực này có thể đánh lừa cả người dùng cuối lẫn các hệ thống phòng thủ dựa trên danh tiếng.
Đáng chú ý, từ năm 2022, tài khoản này đã đăng tải bài viết mang tên “BLACKHAT | Bitcoin Stealer | Advanced Builder | Tutorial | Clipper [Address Changer]+Re-Fud method”, trong đó chia sẻ một công cụ độc hại liên quan đến đánh cắp tiền điện tử.
Chiến dịch còn xuất hiện dưới dạng bài viết trả phí hoặc nội dung bị xâm phạm trên các trang tin chính thống, đồng thời được quảng bá trên các diễn đàn tiền điện tử như BitcoinTalk nhằm tiếp tục gia tăng vẻ ngoài hợp pháp.
@JoseCmanXD CryptoRipper (Nguồn: Checkpoint).
Về mặt vận hành, chiến dịch cho thấy một xu hướng mới: phần mềm độc hại tương đối đơn giản được kết hợp với một hệ sinh thái xây dựng lòng tin đa nền tảng dựa trên nội dung AI, mạng lưới tài khoản ảo và việc lạm dụng các cơ chế đánh giá uy tín.
Các chuyên gia bảo mật cảnh báo rằng những chỉ số như lượt xem, lượt tải xuống, lượt bình luận, lượt gắn sao và phiếu bầu cộng đồng hoàn toàn có thể bị thao túng để vượt qua cả sự hoài nghi của người dùng lẫn các cơ chế kiểm tra uy tín tự động.
Các biện pháp giảm thiểu được khuyến nghị gồm cô lập các tệp tải xuống trong môi trường hộp cát (sandbox), xác thực tệp nhị phân dựa trên chữ ký nhà phát hành, giám sát hoạt động sao chép và dán nhằm phát hiện hành vi thay thế trái phép, đồng thời thận trọng hơn với những đánh giá hoặc lời chứng thực trực tuyến có mức độ phổ biến bất thường.
Chiến dịch tập trung vào một trung tâm lừa đảo WordPress chuyên quảng bá các bot “bắn tỉa”, công cụ dự đoán sự sụp đổ thị trường và các giải pháp làm giàu nhanh khác nhắm vào nhà giao dịch tiền điện tử và người chơi cờ bạc. Để tạo cảm giác hợp pháp, các đối tượng đứng sau chiến dịch xây dựng cả một hệ sinh thái tương tác giả mạo được phối hợp chặt chẽ.
Chuỗi phát tán bắt đầu từ một trang web lừa đảo được thiết kế chuyên nghiệp dưới tên người dùng @JoseCmanXD. Trang web này liên kết tới các kho lưu trữ trên GitHub, SourceForge và một kênh YouTube chuyên dụng.
Trên GitHub, kẻ điều hành sử dụng ít nhất sáu tài khoản để tương tác, gắn sao và hỗ trợ chéo cho các kho lưu trữ của nhau. Hoạt động này tạo ra hàng nghìn lượt tải xuống cùng số lượng sao và nhánh được thổi phồng, tương đồng với mô hình “Mạng lưới ma” từng được ghi nhận trước đây.
Trang web lừa đảo (Nguồn: Checkpoint).
Các trang dự án trên SourceForge cũng cho thấy dấu hiệu thao túng tương tự với số lượt tải xuống tăng bất thường và lượng đánh giá tích cực áp đảo. Đáng chú ý, phần lớn lượt tải xuống đáng ngờ được ghi nhận từ các thiết bị Android, dù tác giả chỉ cung cấp phiên bản cho Windows và macOS. Đây được xem là dấu hiệu của việc sử dụng các trang trại tải xuống để thổi phồng số liệu.
YouTube trở thành công cụ khuếch đại lòng tin
Theo báo cáo của Check Point chia sẻ với GBHackers, YouTube đóng vai trò trung tâm trong việc xây dựng lòng tin cho chiến dịch. Các video được dàn dựng như những hướng dẫn thực tế, mô tả thao tác trên máy tính trong khi một người dẫn chuyện do AI tạo ra thuyết minh thông qua hình đại diện trên màn hình.Lượt xem trên các video thường tăng đột biến mà không có nguyên nhân rõ ràng. Phần bình luận lại tràn ngập những phản hồi tích cực có dấu hiệu được phối hợp. Những tín hiệu này dẫn người dùng tới các kho lưu trữ và trung tâm lừa đảo, đồng thời củng cố cảm giác rằng các công cụ được quảng bá là phổ biến và hiệu quả.
Một số video cũ cho thấy chiến dịch từng nhắm tới cộng đồng nói tiếng Nga, cho thấy những kẻ đứng sau ban đầu tập trung vào nhóm người dùng này trước khi mở rộng phạm vi hoạt động.
Phần mềm độc hại được phát tán là các trình chiếm quyền clipboard biên dịch bằng Rust dành cho Windows và macOS.
Trên Windows, các tệp ZIP chứa trình tải .NET dùng để khởi chạy tệp nhị phân Rust. Sau khi hoạt động, malware thiết lập cơ chế duy trì trong thư mục %APPDATA%\silke và đăng ký làm trình lắng nghe clipboard thông qua các API tiêu chuẩn của Windows.
Malware liên tục quét nội dung clipboard bằng biểu thức chính quy nhằm tìm kiếm địa chỉ ví thuộc nhiều blockchain khác nhau như Bitcoin (bech32, legacy, P2SH), Ethereum/EVM, Litecoin, Tron, Cardano, Monero và nhiều nền tảng khác. Khi phát hiện địa chỉ ví, nó sẽ tự động thay thế bằng ví do kẻ tấn công kiểm soát. Phiên bản Windows chứa khoảng 15.500 địa chỉ ví được nhúng sẵn.
Kênh YouTube (Nguồn: Checkpoint).
Trên macOS, malware được phát tán bên trong một tệp .app đi kèm kịch bản “mở khóa” nhằm hướng dẫn người dùng vượt qua cơ chế bảo vệ Gatekeeper. Sau khi cài đặt, nó triển khai các tệp LaunchAgent plist và một cơ chế tự phục hồi để duy trì quyền truy cập. Malware tiếp tục theo dõi clipboard và thay thế địa chỉ ví bằng các địa chỉ được mã hóa cứng của kẻ tấn công.
Thao túng danh tiếng để qua mặt người dùng và hệ thống bảo mật
Ngoài việc sản xuất video và thao túng các nền tảng, tác nhân đe dọa còn can thiệp vào các công cụ đánh giá uy tín. Một số mục trên VirusTotal liên quan đến các tệp nhị phân của chiến dịch nhận được nhiều phiếu bầu tích cực cùng bình luận xác nhận là “an toàn”.Tỷ lệ phát hiện thấp từ các phần mềm chống virus kết hợp với những đánh giá tích cực này có thể đánh lừa cả người dùng cuối lẫn các hệ thống phòng thủ dựa trên danh tiếng.
Đáng chú ý, từ năm 2022, tài khoản này đã đăng tải bài viết mang tên “BLACKHAT | Bitcoin Stealer | Advanced Builder | Tutorial | Clipper [Address Changer]+Re-Fud method”, trong đó chia sẻ một công cụ độc hại liên quan đến đánh cắp tiền điện tử.
Chiến dịch còn xuất hiện dưới dạng bài viết trả phí hoặc nội dung bị xâm phạm trên các trang tin chính thống, đồng thời được quảng bá trên các diễn đàn tiền điện tử như BitcoinTalk nhằm tiếp tục gia tăng vẻ ngoài hợp pháp.
@JoseCmanXD CryptoRipper (Nguồn: Checkpoint).
Về mặt vận hành, chiến dịch cho thấy một xu hướng mới: phần mềm độc hại tương đối đơn giản được kết hợp với một hệ sinh thái xây dựng lòng tin đa nền tảng dựa trên nội dung AI, mạng lưới tài khoản ảo và việc lạm dụng các cơ chế đánh giá uy tín.
Các chuyên gia bảo mật cảnh báo rằng những chỉ số như lượt xem, lượt tải xuống, lượt bình luận, lượt gắn sao và phiếu bầu cộng đồng hoàn toàn có thể bị thao túng để vượt qua cả sự hoài nghi của người dùng lẫn các cơ chế kiểm tra uy tín tự động.
Các biện pháp giảm thiểu được khuyến nghị gồm cô lập các tệp tải xuống trong môi trường hộp cát (sandbox), xác thực tệp nhị phân dựa trên chữ ký nhà phát hành, giám sát hoạt động sao chép và dán nhằm phát hiện hành vi thay thế trái phép, đồng thời thận trọng hơn với những đánh giá hoặc lời chứng thực trực tuyến có mức độ phổ biến bất thường.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
