MinhSec
Writer
Một nhóm tin tặc Việt Nam có tên Lone None đang tiến hành chiến dịch lừa đảo trực tuyến tinh vi nhằm đánh cắp mật khẩu, thẻ tín dụng và đặc biệt là ví tiền điện tử của nạn nhân. Theo công ty an ninh mạng Cofense Intelligence, chiến dịch này đã diễn ra ít nhất từ tháng 11/2024 và đang lan rộng trên toàn cầu.
Các cuộc tấn công thường bắt đầu bằng email giả mạo thông báo pháp lý từ các công ty luật, yêu cầu người nhận gỡ bỏ nội dung có bản quyền trên website hoặc mạng xã hội. Email thường viết bằng nhiều ngôn ngữ khác nhau và chứa liên kết dẫn đến tệp ZIP. Khi mở ra, tệp này chứa mã độc được ngụy trang dưới dạng tài liệu PDF hoặc hình ảnh PNG.
Để vượt qua kiểm tra bảo mật, tin tặc sử dụng kỹ thuật DLL side-loading, lợi dụng các chương trình hợp pháp như Microsoft Word để bí mật chạy mã độc. Từ đó, chúng triển khai hai loại phần mềm: Pure Logs Stealer và Lone None Stealer (còn gọi là PXA Stealer).
Pure Logs có khả năng đánh cắp nhiều dữ liệu nhạy cảm như mật khẩu, cookie phiên hay tệp ví điện tử. Trong khi đó, Lone None Stealer được thiết kế chuyên biệt cho việc chiếm đoạt tiền điện tử. Nó theo dõi clipboard của nạn nhân, thay thế địa chỉ ví đã sao chép bằng địa chỉ của tin tặc. Chỉ cần người dùng dán địa chỉ và thực hiện giao dịch, toàn bộ số tiền sẽ chảy thẳng vào túi kẻ xấu.
Điểm đặc biệt là Lone None Stealer sử dụng Telegram làm kênh chỉ huy và kiểm soát (C2), giấu địa chỉ tiếp theo trong hồ sơ bot Telegram để tránh bị phát hiện. Từ tháng 6/2025, phần mềm độc hại này đã xuất hiện trong gần 30% báo cáo liên quan đến Pure Logs Stealer, cho thấy mức độ lan rộng nhanh chóng.
Chiêu trò lừa đảo này lợi dụng tâm lý lo sợ tranh chấp pháp lý để đánh lừa nạn nhân. Do đó, người dùng cần cảnh giác trước các email lạ, đặc biệt là những email đề cập đến vấn đề pháp lý hoặc bản quyền. Tuyệt đối không nhấp vào liên kết hay tải tệp từ nguồn không rõ ràng. Đây vẫn là biện pháp đơn giản nhưng hiệu quả nhất để ngăn chặn những cuộc tấn công kiểu này.
hackread.com
Các cuộc tấn công thường bắt đầu bằng email giả mạo thông báo pháp lý từ các công ty luật, yêu cầu người nhận gỡ bỏ nội dung có bản quyền trên website hoặc mạng xã hội. Email thường viết bằng nhiều ngôn ngữ khác nhau và chứa liên kết dẫn đến tệp ZIP. Khi mở ra, tệp này chứa mã độc được ngụy trang dưới dạng tài liệu PDF hoặc hình ảnh PNG.
Cách thức hoạt động và dấu hiệu nhận biết
Để vượt qua kiểm tra bảo mật, tin tặc sử dụng kỹ thuật DLL side-loading, lợi dụng các chương trình hợp pháp như Microsoft Word để bí mật chạy mã độc. Từ đó, chúng triển khai hai loại phần mềm: Pure Logs Stealer và Lone None Stealer (còn gọi là PXA Stealer).
Pure Logs có khả năng đánh cắp nhiều dữ liệu nhạy cảm như mật khẩu, cookie phiên hay tệp ví điện tử. Trong khi đó, Lone None Stealer được thiết kế chuyên biệt cho việc chiếm đoạt tiền điện tử. Nó theo dõi clipboard của nạn nhân, thay thế địa chỉ ví đã sao chép bằng địa chỉ của tin tặc. Chỉ cần người dùng dán địa chỉ và thực hiện giao dịch, toàn bộ số tiền sẽ chảy thẳng vào túi kẻ xấu.
Điểm đặc biệt là Lone None Stealer sử dụng Telegram làm kênh chỉ huy và kiểm soát (C2), giấu địa chỉ tiếp theo trong hồ sơ bot Telegram để tránh bị phát hiện. Từ tháng 6/2025, phần mềm độc hại này đã xuất hiện trong gần 30% báo cáo liên quan đến Pure Logs Stealer, cho thấy mức độ lan rộng nhanh chóng.
Cách phòng tránh
Chiêu trò lừa đảo này lợi dụng tâm lý lo sợ tranh chấp pháp lý để đánh lừa nạn nhân. Do đó, người dùng cần cảnh giác trước các email lạ, đặc biệt là những email đề cập đến vấn đề pháp lý hoặc bản quyền. Tuyệt đối không nhấp vào liên kết hay tải tệp từ nguồn không rõ ràng. Đây vẫn là biện pháp đơn giản nhưng hiệu quả nhất để ngăn chặn những cuộc tấn công kiểu này.
Vietnamese Hackers Use Fake Copyright Notices to Spread Lone None Stealer
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
