Mã độc Torg Grabber nhắm 728 ví tiền mã hóa trên trình duyệt, đe dọa người dùng tự lưu ký

Theo Gen Digital đưa tin ngày 24 (giờ địa phương), một mã độc *Infostealer* mới mang tên *Torg Grabber* vừa được phát hiện trong các chiến dịch tấn công thực tế, trực tiếp nhắm vào hơn “700 ví tiền mã hóa” dựa trên trình duyệt. Người dùng ví “tự lưu ký” (self-custody) – đặc biệt là ví dạng *tiện ích mở rộng trình duyệt* – đang trở thành mục tiêu hàng đầu, làm dấy lên nhiều cảnh báo an ninh trong cộng đồng.

*Torg Grabber* được Gen Digital mô tả là một mã độc có mức độ hoàn thiện cao, tương đương sản phẩm thương mại, với kiến trúc “dịch vụ mã độc (MaaS)” cho phép nhiều nhóm tấn công thuê và tùy biến. Mục tiêu chính là các ví “tiền mã hóa” như MetaMask, Phantom cùng hàng trăm tiện ích ví khác, tập trung đánh cắp “cụm từ khởi tạo (seed phrase)”, “khóa riêng (private key)” và “token phiên đăng nhập” để chiếm đoạt tài sản.

Theo Gen Digital, *Torg Grabber* có thể hoạt động trên 25 trình duyệt nhân Chromium và 8 trình duyệt dòng Firefox, quét tổng cộng 850 tiện ích mở rộng. Trong số này, 728 tiện ích được xác định là “ví tiền mã hóa”. Các ví “nóng” (hot wallet) phổ biến như MetaMask và Phantom đều nằm trong danh sách. Mã độc sẽ trích xuất dữ liệu nhạy cảm rồi mã hóa trước khi gửi ra ngoài, khiến việc phát hiện bị trì hoãn hoặc bỏ sót.

từ “tiền mã hóa” và “ví tiền mã hóa” liên tục xuất hiện trong báo cáo của Gen Digital, cho thấy kẻ tấn công đã chủ động xây dựng danh sách nhắm mục tiêu dựa trên mức độ phổ biến của từng ví, thay vì thu thập một cách ngẫu nhiên.

Theo phân tích, quá trình lây nhiễm bắt đầu từ một *dropper* giả dạng tập tin cập nhật Chrome mang tên “GAPI_Update.exe”. Tập tin cài đặt dung lượng khoảng 60 MB được phân phối qua hạ tầng Dropbox, làm tăng cảm giác “hợp lệ” cho nạn nhân. Khi người dùng chạy file, dropper sẽ tạo ra một file DLL “hợp pháp” nhằm che giấu dấu vết hoạt động.

Đáng chú ý, sau khi khởi chạy, hệ thống sẽ hiển thị một màn hình “Cập nhật bảo mật Windows” giả trong khoảng 420 giây. Trong quãng thời gian này, payload độc hại thực sự được cài đặt âm thầm. Tập tin thực thi cuối cùng được sinh ngẫu nhiên tên, khiến việc truy vết hoặc định danh trên hệ thống trở nên khó khăn.

Dữ liệu bị đánh cắp được mã hóa bằng ChaCha20 kết hợp với HMAC-SHA256 để xác thực tính toàn vẹn, sau đó truyền về máy chủ điều khiển thông qua hạ tầng Cloudflare. Cách tổ chức luồng dữ liệu này cho thấy đây không phải một mã độc “thô sơ”, mà là một bộ công cụ được xây dựng có chủ đích, với mô hình vận hành gần giống sản phẩm *SaaS* trong thế giới hợp pháp.

Theo Gen Digital, con số “728 ví tiền mã hóa” mục tiêu là điểm nhấn chính trong chiến dịch. Danh sách này không phải kết quả quét bừa, mà là một “snapshot” có chọn lọc, gồm các ví có lượng người dùng cài đặt cao trên các kho tiện ích trình duyệt.

*Torg Grabber* không nhắm vào cá nhân cụ thể mà áp dụng chiến lược “thu thập vô phân biệt”: bất kỳ hệ thống nào bị lây, mọi dữ liệu liên quan đến “ví tiền mã hóa” xuất hiện trên trình duyệt sẽ bị quét và gửi về máy chủ. Những ví như MetaMask – vốn có lượng người dùng hàng chục triệu mỗi tháng – đương nhiên trở thành “mỏ dữ liệu” chính.

Người dùng mô hình “tự lưu ký” bị đặt vào rủi ro lớn nhất. Nếu cụm từ khởi tạo được lưu trong bộ nhớ trình duyệt, trong file văn bản, ảnh chụp màn hình hoặc thậm chí trong trình quản lý mật khẩu không được bảo vệ đúng cách, một lần nhiễm mã độc có thể đồng nghĩa mất toàn bộ tài sản trên tất cả ví liên quan.

Ngược lại, tài sản để trên sàn giao dịch tập trung không phải đích ngắm trực tiếp của mã độc này, nhưng vẫn tiềm ẩn nguy hiểm: nếu token phiên đăng nhập hoặc cookie đăng nhập bị đánh cắp, kẻ tấn công có thể chiếm quyền truy cập tạm thời vào tài khoản, rút hoặc chuyển tài sản nếu không có lớp bảo vệ bổ sung như 2FA bảo mật hà khắc.

bình luận: Câu chuyện “tự giữ khóa là tự do” tiếp tục bộc lộ mặt trái: nếu an ninh máy tính cá nhân yếu, “tự do” này rất dễ biến thành “tự chịu trách nhiệm mất trắng”.

Trong quá trình phân tích, Gen Digital phát hiện hơn 40 “thẻ vận hành” (operator tag) và ID Telegram được dùng để quản lý hạ tầng tấn công. Nhóm nghiên cứu ước tính có ít nhất 8 “operator” có liên hệ với hệ sinh thái tội phạm mạng tại Nga.

*Torg Grabber* được vận hành theo mô hình *Malware-as-a-Service (MaaS)*: kẻ đứng sau phát triển lõi mã độc và hạ tầng điều khiển, sau đó cho phép các nhóm tấn công khác thuê, tích hợp thêm shellcode của riêng họ để mở rộng phạm vi hoặc tùy biến chức năng. Gen Digital mô tả đây là một “hệ thống tấn công dựa trên REST API được thiết kế tinh vi”, cho phép các operator điều khiển chiến dịch qua giao diện lập trình đơn giản nhưng mạnh.

bình luận: Việc cung cấp API cho mã độc cho thấy trình độ “sản phẩm hóa” của thị trường tội phạm mạng – tương tự cách các nền tảng đám mây cung cấp API cho nhà phát triển, giờ đây mã độc cũng có “developer experience” riêng.

Hiện tại, danh sách “728 ví tiền mã hóa” bị *Torg Grabber* nhắm tới mới chỉ phản ánh trạng thái ở thời điểm phân tích. Với kiến trúc *MaaS*, khi số lượng operator tham gia tăng, danh sách ví, dịch vụ mục tiêu và cả kỹ thuật đánh cắp nhiều khả năng sẽ được mở rộng nhanh chóng.

Tiền lệ đã có: các Infostealer như Vidar, RedLine từng bắt đầu từ quy mô nhỏ, sau đó lan rộng nhờ mô hình dịch vụ cho thuê tương tự. *Torg Grabber* được đánh giá là thế hệ tiếp theo, kết hợp mô hình này với hạ tầng phân phối và che giấu lưu lượng bài bản hơn.

bình luận: Mỗi đợt bùng nổ của thị trường “tiền mã hóa” đều kéo theo làn sóng nâng cấp của mã độc. Từ keylogger đơn giản, giờ đây các công cụ đã tối ưu riêng cho ví, DeFi và cả NFT.

Sự phát triển của thị trường “tiền mã hóa” và hệ sinh thái ví dựa trên trình duyệt giúp việc tiếp cận tài sản trở nên dễ dàng, nhưng cũng mở rộng đáng kể bề mặt tấn công. Chỉ cần người dùng cài nhầm một “cập nhật giả”, toàn bộ lịch sử và hiện trạng ví có thể rơi vào tay kẻ tấn công.

Trong bối cảnh đó, bảo vệ môi trường “tự lưu ký” không còn là lựa chọn mà trở thành yêu cầu bắt buộc đối với bất kỳ ai nắm giữ lượng “tiền mã hóa” đáng kể. Một số nguyên tắc cơ bản được chuyên gia khuyến nghị:

- Không lưu “seed phrase” hoặc “private key” trong trình duyệt, file văn bản, ảnh chụp màn hình hoặc ghi chú không mã hóa.

- Ưu tiên sử dụng *ví cứng* (hardware wallet) cho khoản lớn, chỉ dùng ví trình duyệt cho số dư nhỏ.

- Tải trình duyệt, tiện ích ví và bản cập nhật từ trang chính thức hoặc kho ứng dụng uy tín, tuyệt đối tránh file cài đặt trôi nổi.

- Kích hoạt bảo mật đa lớp (2FA, FIDO2) cho tài khoản sàn giao dịch và email liên quan đến “tiền mã hóa”.

- Thường xuyên quét mã độc trên máy tính, đặc biệt sau khi cài đặt phần mềm mới.

bình luận: Câu chuyện *Torg Grabber* cho thấy “tiền mã hóa” không chỉ là cuộc chơi thị trường, mà còn là cuộc đua vũ trang về bảo mật. Ai nắm giữ quyền kiểm soát khóa riêng, người đó cần chủ động trang bị kiến thức và kỷ luật an ninh, nếu không sẽ trở thành mục tiêu lý tưởng của các chiến dịch như thế này.