Chiêu lừa mới dùng plugin Obsidian cài mã độc PHANTOMPULSE nhắm vào nhà đầu tư tiền mã hóa

Elastic Security Labs vừa cảnh báo về một chiêu thức *tấn công xã hội* mới nhắm vào **tiền mã hóa** và ngành tài chính, trong đó kẻ tấn công lợi dụng plugin cộng đồng của ứng dụng ghi chú Obsidian để cài *mã độc* mà nạn nhân khó nhận ra. Theo báo cáo công bố ngày 13 (giờ địa phương), chiến dịch này chủ yếu tiếp cận nạn nhân qua LinkedIn và Telegram, sau đó dụ họ mở “vault” (kho dữ liệu) chia sẻ có chứa plugin đã bị cấy mã độc.

Theo Elastic Security Labs, kịch bản tấn công thường bắt đầu từ LinkedIn, nơi kẻ xấu giả dạng là người của một quỹ đầu tư mạo hiểm hay tổ chức tài chính, tiếp cận các cá nhân đang hoạt động trong lĩnh vực **tiền mã hóa** hoặc tài chính. Sau khi làm quen, chúng chuyển cuộc trò chuyện sang Telegram và tiếp tục xây dựng lòng tin bằng những trao đổi về “giải pháp thanh khoản tài sản số” hay “hợp tác đầu tư”, tạo cảm giác đây là một cơ hội kinh doanh thực sự.

Khi đã tạo được sự tin tưởng, kẻ tấn công hướng dẫn nạn nhân cài đặt ứng dụng ghi chú Obsidian và đăng nhập vào một vault lưu trữ trên đám mây do chúng cung cấp. Tại đây, chúng yêu cầu nạn nhân bật đồng bộ *plugin cộng đồng* để “làm việc chung hiệu quả hơn”. Tuy nhiên, một trong các plugin đó đã bị Trojan hóa: chỉ cần người dùng chấp thuận đồng bộ, plugin độc hại sẽ âm thầm chạy trên máy, mở đường cho kẻ tấn công chiếm quyền kiểm soát thiết bị.

Elastic cho biết chiến dịch này hoạt động trên cả Windows lẫn macOS, và dùng để triển khai một loại trojan truy cập từ xa (RAT) mới có tên PHANTOMPULSE. Điểm đáng chú ý là PHANTOMPULSE tận dụng từ ba blockchain trở lên để tìm thông tin máy chủ điều khiển – chỉ huy (C2). Thay vì phụ thuộc vào một máy chủ trung tâm dễ bị chặn, mã độc sẽ “đọc” dữ liệu lệnh trên nhiều chuỗi, cho phép kẻ điều khiển linh hoạt đổi kênh liên lạc và né các biện pháp phòng thủ tập trung. *bình luận: Việc C2 dựa trên blockchain khiến việc triệt phá hạ tầng điều khiển khó khăn hơn nhiều, vì dữ liệu trên chuỗi vốn mang tính phân tán và khó gỡ bỏ.*

Theo Elastic, đây là ví dụ điển hình cho việc biến các công cụ năng suất “nhìn như hợp pháp” thành đường tấn công. Ứng dụng ghi chú, công cụ cộng tác hay nền tảng quản lý dự án – vốn được coi là an toàn – đang ngày càng bị lợi dụng để triển khai **mã độc** dưới vỏ bọc plugin, tiện ích mở rộng hoặc mẫu tài liệu.

Người nắm giữ **tiền mã hóa** là nhóm bị nhắm mục tiêu rõ rệt. Giao dịch trên blockchain gần như không thể đảo ngược, nên chỉ một lần bị chiếm đoạt ví hoặc bị lộ khóa riêng là tài sản có thể mất vĩnh viễn. Theo Chainalysis đưa tin ngày 20 tháng 1 năm 2024 (giờ địa phương), riêng trong năm 2023 đã có khoảng 713 triệu USD bị đánh cắp chỉ từ các vụ xâm phạm ví cá nhân. Với tỷ giá khoảng 1.474,80 won đổi 1 USD, quy mô thiệt hại tiềm tàng từ các hình thức tấn công như thế này càng trở nên đáng báo động. *bình luận: Con số này chỉ phản ánh thiệt hại đã ghi nhận được; trên thực tế, nhiều vụ mất tiền lẻ tẻ hoặc nạn nhân tổ chức nhỏ thường không được thống kê đầy đủ.*

Elastic khẳng định đã chủ động phát hiện và chặn chiến dịch lây nhiễm liên quan đến PHANTOMPULSE, song đồng thời nhấn mạnh rằng các kênh xâm nhập ban đầu đang ngày càng tinh vi hơn. Thay vì gửi email lừa đảo sơ sài, kẻ tấn công dành thời gian xây dựng hồ sơ LinkedIn, giao tiếp lâu dài trên Telegram và hiểu rõ tâm lý người tham gia thị trường **tiền mã hóa**, từ đó tùy biến kịch bản lừa đảo phù hợp.

Nhiều chuyên gia an ninh mạng được trích dẫn trong báo cáo cho rằng các công ty tài chính và doanh nghiệp hoạt động trong lĩnh vực **tiền mã hóa** cần áp dụng chính sách kiểm soát plugin nghiêm ngặt, ngay cả với những công cụ cộng tác tưởng như vô hại. Một số biện pháp được khuyến nghị gồm: chỉ cho phép plugin nằm trong danh sách trắng đã được kiểm tra; tách môi trường làm việc chứa dữ liệu quan trọng khỏi các công cụ thử nghiệm; và thường xuyên rà soát hành vi bất thường trên thiết bị nhân viên. *bình luận: Việc “khóa chặt” plugin có thể gây bất tiện, nhưng đổi lại giúp giảm thiểu đáng kể nguy cơ trở thành nạn nhân của các cuộc tấn công chuỗi cung ứng phần mềm dạng mới.*

Vụ việc liên quan Obsidian và PHANTOMPULSE một lần nữa cho thấy các công cụ “tiện lợi” có thể nhanh chóng trở thành vector tấn công, đặc biệt khi kết hợp với chiến thuật *tấn công xã hội* được đầu tư kỹ lưỡng. Trong bối cảnh tài sản số ngày càng có giá trị, người dùng và doanh nghiệp hoạt động trong lĩnh vực **tiền mã hóa** cần cảnh giác hơn với các lời mời hợp tác qua LinkedIn, Telegram, và tuyệt đối thận trọng khi cài đặt hay bật đồng bộ plugin từ các nguồn không thực sự tin cậy.