Chiến dịch ClickFix đánh cắp ví Bitcoin(BTC), Ethereum(ETH), Solana(SOL) bằng phần mềm độc hại tinh vi

Một chiến dịch tấn công mạng mới đang gây lo ngại cho cộng đồng tiền mã hóa khi hàng loạt ví Bitcoin(BTC), Ethereum(ETH) và các tài sản kỹ thuật số khác bị đánh cắp thông qua phần mềm độc hại sử dụng kỹ thuật lừa đảo xã hội tinh vi có tên "ClickFix".

Theo Hacker News đưa tin ngày 24 (giờ địa phương), phần mềm độc hại này được phát tán thông qua chiến dịch ClickFix – một hình thức lừa đảo được ngụy trang dưới dạng thông báo lỗi hệ thống hoặc yêu cầu xác minh CAPTCHA. Đáng chú ý, phần mềm yêu cầu người dùng nhập mã độc trực tiếp vào cửa sổ Run của Windows, vượt qua hầu hết biện pháp bảo mật phổ biến hiện nay.

Bình luận: Đây là ví dụ điển hình cho thấy tin tặc đang ngày một tinh vi hơn trong việc khai thác điểm yếu từ chính người dùng, thay vì cố gắng xuyên thủng các lớp bảo mật công nghệ.

Loại mã độc này thực chất là biến thể của phần mềm “ACR Stealer” – từng bị phát hiện và bán theo hình thức thuê bao vào giữa năm 2024. Biến thể mới tích hợp thêm kỹ thuật tàng hình và khai thác yếu tố con người (social engineering), khiến việc phát hiện trở nên cực kỳ khó khăn.

Các tin tặc đã tạo ra một loạt trang web giả mạo như SmartApeSG và Booking.com để phát tán virus “NetSupport RAT”. Các chiêu thức như email giả dạng nội bộ, hóa đơn giả và thông báo hệ thống giả được sử dụng nhằm dẫn dụ người dùng cung cấp thông tin đăng nhập quan trọng. Trong khi đó, mục tiêu hàng đầu của chiến dịch vẫn là lấy cắp dữ liệu từ các ví tiền mã hóa – một “mục tiêu giá trị cao” vì chúng có thể được giao dịch toàn cầu mà không thể truy xuất lại thông tin chủ sở hữu.

Bình luận: Ví tiền mã hóa thường nắm giữ lượng tài sản lớn chỉ với một chuỗi ký tự riêng tư (private key). Một khi chuỗi này bị đánh cắp, việc hồi phục gần như không thể thực hiện.

Mã độc “Amatera Stealer” – công cụ chính của chiến dịch – có thể dò tìm và trích xuất dữ liệu như private key, file ví, thông tin đăng nhập được lưu trong trình duyệt hoặc ứng dụng nhắn tin, email, phần mềm FTP. Nó chỉ kích hoạt RAT khi hệ thống chứa dữ liệu liên quan tới tiền mã hóa – giúp tăng hiệu quả và đánh cắp đúng đối tượng.

Các nhà chuyên môn cảnh báo rằng mối đe dọa lần này không đơn thuần là một vụ lừa đảo, mà là ví dụ điển hình của tội phạm mạng đang nhắm thẳng vào người dùng tiền mã hóa. Khi các công cụ bảo mật truyền thống không còn đủ khả năng bảo vệ, chính người dùng cần nâng cao nhận thức với các biện pháp như:

- Luôn sao lưu khóa riêng (private key) một cách an toàn

- Ưu tiên sử dụng ví cứng (hardware wallet)

- Không bao giờ nhấn vào liên kết đáng ngờ, đặc biệt từ email lạ

Bình luận: Trong thế giới phi tập trung, không có ngân hàng hay trung tâm hỗ trợ tài khoản. An toàn tài sản kỹ thuật số giờ đây phụ thuộc gần như hoàn toàn vào sự tỉnh táo và ý thức bảo vệ cá nhân của người dùng.

Với đợt tấn công nhằm vào ví Bitcoin(BTC), Ethereum(ETH), Solana(SOL) cùng các tài sản kỹ thuật số khác, chiến dịch ClickFix một lần nữa nhấn mạnh: trong lĩnh vực tiền mã hóa, “cẩn trọng” không chỉ là một lựa chọn – mà là yếu tố sống còn.