CyberThao
Writer
Một nhóm tin tặc có động cơ tài chính mang tên EncryptHub (còn được biết đến là LARVA-208 hoặc Water Gamayun) vừa bị phát hiện tiến hành chiến dịch tấn công mới, nhắm vào các nhà phát triển Web3 nhằm cài đặt phần mềm độc hại đánh cắp thông tin – Fickle Stealer.
Theo công ty an ninh mạng Thụy Sĩ PRODAFT, EncryptHub đã nâng cấp chiến thuật bằng cách sử dụng các nền tảng trí tuệ nhân tạo giả mạo như Norlax AI (bắt chước Teampilot) để tiếp cận nạn nhân. Chúng giả dạng nhà tuyển dụng, gửi lời mời làm việc hoặc đề nghị xem danh mục đầu tư, nhằm dụ người dùng nhấp vào liên kết dẫn đến phần mềm độc hại.
Dù trước đây từng sử dụng ransomware, nhóm này hiện chuyển hướng sang việc trộm dữ liệu ví tiền điện tử và các thông tin giá trị cao để kiếm lời. Việc nhắm vào các nhà phát triển Web3 là hoàn toàn có chủ đích, do họ thường sở hữu quyền truy cập vào ví tiền số, hợp đồng thông minh và môi trường phát triển nhạy cảm. Nhiều người làm việc tự do hoặc tham gia nhiều dự án phi tập trung, khiến họ ít được bảo vệ bởi các biện pháp an ninh doanh nghiệp truyền thống.
Tấn công tinh vi bằng AI giả và chiêu trò phỏng vấn ảo
Chuỗi tấn công bắt đầu bằng cách dụ dỗ nạn nhân truy cập các nền tảng AI giả để “tham gia phỏng vấn” hoặc “xem xét dự án”. Những liên kết này được chia sẻ thông qua các nền tảng như X (Twitter cũ), Telegram hoặc thông qua các trang tuyển dụng Web3 như Remote3. Kẻ tấn công thường đóng giả nhà tuyển dụng và mời nạn nhân tham gia một cuộc họp video.
Để tránh bị phát hiện, chúng bắt đầu bằng một cuộc gọi Google Meet – hình thức đáng tin cậy – rồi sau đó yêu cầu người dùng tiếp tục cuộc phỏng vấn trên Norlax AI. Tại đây, nạn nhân sẽ được yêu cầu nhập email và mã mời. Tiếp theo là một thông báo lỗi giả mạo về trình điều khiển âm thanh (driver Realtek HD) bị thiếu. Khi người dùng nhấp vào, phần mềm độc hại sẽ được tải xuống, ngụy trang như một driver hợp pháp, thực thi các lệnh PowerShell để cài đặt Fickle Stealer.
Phần mềm độc hại này sẽ đánh cắp thông tin từ ví điện tử, tài khoản phát triển và các dữ liệu nhạy cảm, sau đó gửi về máy chủ điều khiển mang mã hiệu SilentPrism.
Theo PRODAFT, “những kẻ tấn công đang chuyển hướng sang mô hình kiếm tiền thông qua đánh cắp dữ liệu, thông tin xác thực và bán lại trên các chợ đen”.
Cùng thời điểm, nhóm Trustwave SpiderLabs cũng công bố một ransomware mới có tên KAWA4096, có điểm tương đồng về hình thức tống tiền với các nhóm như Akira hay Qilin. KAWA4096 xuất hiện từ tháng 6 năm 2025 và đã nhắm đến 11 công ty, chủ yếu tại Hoa Kỳ và Nhật Bản. Mặc dù phương thức xâm nhập ban đầu chưa rõ, phần mềm này có khả năng mã hóa các tệp trên ổ đĩa mạng chia sẻ và sử dụng kỹ thuật đa luồng để tăng tốc quá trình mã hóa.
Trong khi đó, một ransomware khác là Crux – tự nhận thuộc nhóm BlackByte – cũng đang hoạt động mạnh mẽ. Crux được phát hiện trong ba sự cố vào giữa tháng 7 năm 2025, trong đó có trường hợp kẻ tấn công sử dụng thông tin đăng nhập hợp lệ qua RDP để đột nhập vào mạng. Điểm chung là chúng sử dụng công cụ hệ thống hợp pháp như svchost.exe và bcdedit.exe để che giấu hành vi độc hại, đồng thời chỉnh sửa cấu hình khởi động nhằm ngăn hệ thống khôi phục.
Huntress – đơn vị phát hiện Crux – cảnh báo rằng các tiến trình hợp pháp bị lợi dụng ngày càng nhiều, và việc theo dõi hành vi đáng ngờ qua công cụ giám sát điểm cuối (EDR) là cách hiệu quả để phát hiện sớm các cuộc tấn công.
Đọc chi tiết tại đây: https://thehackernews.com/2025/07/encrypthub-targets-web3-developers.html
Theo công ty an ninh mạng Thụy Sĩ PRODAFT, EncryptHub đã nâng cấp chiến thuật bằng cách sử dụng các nền tảng trí tuệ nhân tạo giả mạo như Norlax AI (bắt chước Teampilot) để tiếp cận nạn nhân. Chúng giả dạng nhà tuyển dụng, gửi lời mời làm việc hoặc đề nghị xem danh mục đầu tư, nhằm dụ người dùng nhấp vào liên kết dẫn đến phần mềm độc hại.
Dù trước đây từng sử dụng ransomware, nhóm này hiện chuyển hướng sang việc trộm dữ liệu ví tiền điện tử và các thông tin giá trị cao để kiếm lời. Việc nhắm vào các nhà phát triển Web3 là hoàn toàn có chủ đích, do họ thường sở hữu quyền truy cập vào ví tiền số, hợp đồng thông minh và môi trường phát triển nhạy cảm. Nhiều người làm việc tự do hoặc tham gia nhiều dự án phi tập trung, khiến họ ít được bảo vệ bởi các biện pháp an ninh doanh nghiệp truyền thống.
Tấn công tinh vi bằng AI giả và chiêu trò phỏng vấn ảo
Chuỗi tấn công bắt đầu bằng cách dụ dỗ nạn nhân truy cập các nền tảng AI giả để “tham gia phỏng vấn” hoặc “xem xét dự án”. Những liên kết này được chia sẻ thông qua các nền tảng như X (Twitter cũ), Telegram hoặc thông qua các trang tuyển dụng Web3 như Remote3. Kẻ tấn công thường đóng giả nhà tuyển dụng và mời nạn nhân tham gia một cuộc họp video.
Để tránh bị phát hiện, chúng bắt đầu bằng một cuộc gọi Google Meet – hình thức đáng tin cậy – rồi sau đó yêu cầu người dùng tiếp tục cuộc phỏng vấn trên Norlax AI. Tại đây, nạn nhân sẽ được yêu cầu nhập email và mã mời. Tiếp theo là một thông báo lỗi giả mạo về trình điều khiển âm thanh (driver Realtek HD) bị thiếu. Khi người dùng nhấp vào, phần mềm độc hại sẽ được tải xuống, ngụy trang như một driver hợp pháp, thực thi các lệnh PowerShell để cài đặt Fickle Stealer.
Phần mềm độc hại này sẽ đánh cắp thông tin từ ví điện tử, tài khoản phát triển và các dữ liệu nhạy cảm, sau đó gửi về máy chủ điều khiển mang mã hiệu SilentPrism.
Theo PRODAFT, “những kẻ tấn công đang chuyển hướng sang mô hình kiếm tiền thông qua đánh cắp dữ liệu, thông tin xác thực và bán lại trên các chợ đen”.
Cùng thời điểm, nhóm Trustwave SpiderLabs cũng công bố một ransomware mới có tên KAWA4096, có điểm tương đồng về hình thức tống tiền với các nhóm như Akira hay Qilin. KAWA4096 xuất hiện từ tháng 6 năm 2025 và đã nhắm đến 11 công ty, chủ yếu tại Hoa Kỳ và Nhật Bản. Mặc dù phương thức xâm nhập ban đầu chưa rõ, phần mềm này có khả năng mã hóa các tệp trên ổ đĩa mạng chia sẻ và sử dụng kỹ thuật đa luồng để tăng tốc quá trình mã hóa.
Trong khi đó, một ransomware khác là Crux – tự nhận thuộc nhóm BlackByte – cũng đang hoạt động mạnh mẽ. Crux được phát hiện trong ba sự cố vào giữa tháng 7 năm 2025, trong đó có trường hợp kẻ tấn công sử dụng thông tin đăng nhập hợp lệ qua RDP để đột nhập vào mạng. Điểm chung là chúng sử dụng công cụ hệ thống hợp pháp như svchost.exe và bcdedit.exe để che giấu hành vi độc hại, đồng thời chỉnh sửa cấu hình khởi động nhằm ngăn hệ thống khôi phục.
Huntress – đơn vị phát hiện Crux – cảnh báo rằng các tiến trình hợp pháp bị lợi dụng ngày càng nhiều, và việc theo dõi hành vi đáng ngờ qua công cụ giám sát điểm cuối (EDR) là cách hiệu quả để phát hiện sớm các cuộc tấn công.
Đọc chi tiết tại đây: https://thehackernews.com/2025/07/encrypthub-targets-web3-developers.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
