MinhSec
Writer
Một chiến dịch tấn công mạng mới vừa được Check Point phát hiện đang cho thấy một xu hướng đáng lo ngại: tin tặc giờ đây không chỉ phát tán mã độc mà còn chủ động xây dựng vỏ bọc uy tín để đánh lừa người dùng. Theo các nhà nghiên cứu, một kẻ tấn công hoạt động dưới tài khoản @JoseCmanXD đã thao túng hàng loạt nền tảng trực tuyến nhằm quảng bá một loại malware nguy hiểm chuyên đánh cắp tiền điện tử.
Loại mã độc này được gọi là Crypto Clipper, một dạng phần mềm độc hại chiếm quyền điều khiển clipboard. Cách thức hoạt động của nó khá đơn giản nhưng cực kỳ hiệu quả: khi người dùng sao chép địa chỉ ví tiền số để thực hiện giao dịch, mã độc sẽ âm thầm thay thế bằng địa chỉ ví của hacker. Nếu nạn nhân không phát hiện ra sự khác biệt và tiếp tục dán địa chỉ để gửi tiền, toàn bộ số tài sản có thể biến mất chỉ trong vài giây.
Chiến dịch này chủ yếu nhắm vào cộng đồng đầu tư tiền điện tử và người chơi cờ bạc trực tuyến, đặc biệt là những ai đang tìm kiếm các công cụ kiếm lợi nhuận nhanh như bot giao dịch Solana, phần mềm dự đoán game crash hoặc các tiện ích “hack lợi nhuận”. Thay vì phát tán lén lút như thông thường, kẻ đứng sau chiến dịch lại chọn cách xây dựng một hình ảnh đáng tin bằng các chỉ số giả mạo.
Trên GitHub, nhiều tài khoản liên kết như Decryptor-j và crash-predictor1 liên tục tạo lượt sao giả, giúp các kho chứa mã độc có vẻ như được cộng đồng đánh giá cao. Tổng lượt tải về đã bị đẩy lên hơn 5.000. Trên SourceForge, con số này thậm chí còn vượt 44.000 lượt tải. Để tăng độ tin cậy, hacker còn dựng các video hướng dẫn trên YouTube với giọng đọc AI, lượt xem ảo và bình luận tích cực được dàn dựng.
Điều đáng lo hơn là chiến dịch này còn khai thác cả những nền tảng vốn được giới an ninh mạng tin tưởng. Trên VirusTotal, kẻ tấn công sử dụng các tài khoản giả để bỏ phiếu và đăng bình luận xác nhận các tệp là an toàn. Kết hợp với việc nhiều công cụ antivirus chưa phát hiện ra malware này, những đánh giá giả đó tạo ra một lớp vỏ an toàn rất thuyết phục, khiến người dùng dễ mất cảnh giác.
Khi nạn nhân tải file ZIP về máy Windows, một file .NET có tên SniperBot_Premium(Free).exe sẽ được kích hoạt để chạy payload chính là silkebin.exe. Trên hệ điều hành macOS của Apple, một script mang tên unlocker.command sẽ cố buộc người dùng bỏ qua cơ chế bảo vệ Gatekeeper để malware có thể hoạt động. Sau khi chạy ngầm, phần mềm này sẽ theo dõi clipboard và chờ người dùng sao chép địa chỉ ví tiền điện tử. Khi phát hiện chuỗi phù hợp, nó lập tức thay thế bằng một trong hơn 15.500 ví do hacker kiểm soát.
Các chuyên gia cảnh báo rằng trong thời đại hiện nay, những chỉ số như lượt thích, số sao, lượt tải xuống hay bình luận tích cực không còn là bằng chứng cho thấy một phần mềm an toàn. Tất cả đều có thể bị mua hoặc làm giả. Chiến dịch lần này là lời nhắc nhở rõ ràng rằng tin tặc đang ngày càng tinh vi hơn trong việc thao túng niềm tin của người dùng, biến chính sự nổi tiếng giả tạo thành công cụ để đánh cắp tài sản số.
Loại mã độc này được gọi là Crypto Clipper, một dạng phần mềm độc hại chiếm quyền điều khiển clipboard. Cách thức hoạt động của nó khá đơn giản nhưng cực kỳ hiệu quả: khi người dùng sao chép địa chỉ ví tiền số để thực hiện giao dịch, mã độc sẽ âm thầm thay thế bằng địa chỉ ví của hacker. Nếu nạn nhân không phát hiện ra sự khác biệt và tiếp tục dán địa chỉ để gửi tiền, toàn bộ số tài sản có thể biến mất chỉ trong vài giây.
Chiến dịch này chủ yếu nhắm vào cộng đồng đầu tư tiền điện tử và người chơi cờ bạc trực tuyến, đặc biệt là những ai đang tìm kiếm các công cụ kiếm lợi nhuận nhanh như bot giao dịch Solana, phần mềm dự đoán game crash hoặc các tiện ích “hack lợi nhuận”. Thay vì phát tán lén lút như thông thường, kẻ đứng sau chiến dịch lại chọn cách xây dựng một hình ảnh đáng tin bằng các chỉ số giả mạo.
Trên GitHub, nhiều tài khoản liên kết như Decryptor-j và crash-predictor1 liên tục tạo lượt sao giả, giúp các kho chứa mã độc có vẻ như được cộng đồng đánh giá cao. Tổng lượt tải về đã bị đẩy lên hơn 5.000. Trên SourceForge, con số này thậm chí còn vượt 44.000 lượt tải. Để tăng độ tin cậy, hacker còn dựng các video hướng dẫn trên YouTube với giọng đọc AI, lượt xem ảo và bình luận tích cực được dàn dựng.
Điều đáng lo hơn là chiến dịch này còn khai thác cả những nền tảng vốn được giới an ninh mạng tin tưởng. Trên VirusTotal, kẻ tấn công sử dụng các tài khoản giả để bỏ phiếu và đăng bình luận xác nhận các tệp là an toàn. Kết hợp với việc nhiều công cụ antivirus chưa phát hiện ra malware này, những đánh giá giả đó tạo ra một lớp vỏ an toàn rất thuyết phục, khiến người dùng dễ mất cảnh giác.
Khi nạn nhân tải file ZIP về máy Windows, một file .NET có tên SniperBot_Premium(Free).exe sẽ được kích hoạt để chạy payload chính là silkebin.exe. Trên hệ điều hành macOS của Apple, một script mang tên unlocker.command sẽ cố buộc người dùng bỏ qua cơ chế bảo vệ Gatekeeper để malware có thể hoạt động. Sau khi chạy ngầm, phần mềm này sẽ theo dõi clipboard và chờ người dùng sao chép địa chỉ ví tiền điện tử. Khi phát hiện chuỗi phù hợp, nó lập tức thay thế bằng một trong hơn 15.500 ví do hacker kiểm soát.
Các chuyên gia cảnh báo rằng trong thời đại hiện nay, những chỉ số như lượt thích, số sao, lượt tải xuống hay bình luận tích cực không còn là bằng chứng cho thấy một phần mềm an toàn. Tất cả đều có thể bị mua hoặc làm giả. Chiến dịch lần này là lời nhắc nhở rõ ràng rằng tin tặc đang ngày càng tinh vi hơn trong việc thao túng niềm tin của người dùng, biến chính sự nổi tiếng giả tạo thành công cụ để đánh cắp tài sản số.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
