Nhóm tin tặc GreedyBear tấn công ví tiền mã hóa bằng tiện ích giả mạo, đánh cắp hơn 1 triệu USD

Một nhóm tin tặc mang tên “GreedyBear” đang thực hiện chiến dịch tấn công quy mô lớn nhắm vào người dùng ví tiền mã hóa – đó là cảnh báo mới nhất từ công ty an ninh mạng Koi Security trong báo cáo công bố ngày 24 (giờ địa phương). Bằng cách kết hợp nhiều công cụ tấn công như tiện ích mở rộng trình duyệt giả mạo, phần mềm độc hại và các trang web lừa đảo, bọn tin tặc đã đánh cắp hơn 1 triệu USD (tương đương khoảng 13,9 tỷ đồng) giá trị tiền mã hóa từ người dùng trên toàn cầu.

Từ khóa: “tấn công ví tiền mã hóa”, “tiện ích giả mạo”, “GreedyBear”

Theo nhà nghiên cứu Tuval Admoni của Koi Security, khác với các nhóm tin tặc truyền thống thường chỉ tập trung vào một phương thức tấn công nhất định như ransomware hay lừa đảo trực tuyến, nhóm GreedyBear đã triển khai một mô hình đánh cắp tiền mã hóa theo hướng công nghiệp hóa. “Họ phối hợp cả ba phương pháp – tiện ích độc hại, ransomware, và trang web giả mạo – để mở rộng quy mô tấn công. Đây không còn là các vụ việc nhỏ lẻ nữa, mà là hành vi tội phạm có tổ chức và phức tạp hơn rất nhiều”, ông Admoni nhận định.

Trọng tâm của chiến dịch lần này là việc chiếm đoạt thông tin xác thực ví tiền mã hóa thông qua tiện ích mở rộng trình duyệt. Cụ thể, GreedyBear đã âm thầm đăng tải hơn 150 tiện ích độc hại lên chợ tiện ích của trình duyệt Firefox, đội lốt các ứng dụng ví phổ biến như MetaMask, TronLink, Exodus và Rabby Wallet. Chúng sử dụng kỹ thuật “hollowing tiện ích mở rộng” – một thủ thuật lừa đảo tinh vi cho phép phần mềm giả mạo vượt qua quá trình kiểm duyệt ban đầu nhờ giao diện giống thật, sau đó lén lút thay đổi nội dung sang mã độc nhằm đánh cắp dữ liệu người dùng.

Admoni bình luận: “Chiêu thức này tận dụng điểm yếu trong quy trình kiểm duyệt, khiến người dùng cảm thấy an tâm cài đặt. Nhưng sau khi chiếm được lòng tin, tiện ích sẽ chuyển sang hành vi độc hại và trở nên cực kỳ nguy hiểm.” Theo báo cáo, các tiện ích này có khả năng thu thập trực tiếp thông tin xác thực của người dùng từ các trường nhập liệu trong ví tiền mã hóa.

Giám đốc điều hành công ty bảo mật Cyvers, ông Deddy Lavid, cũng đưa ra cảnh báo tương tự. “Người dùng tin tưởng các chợ tiện ích trình duyệt, và chính điều đó đã bị các hacker khai thác triệt để. Họ nhân bản các ứng dụng ví, đẩy xếp hạng nhờ đánh giá giả, rồi âm thầm cài mã độc đánh cắp dữ liệu”, ông nói thêm. Ông mô tả đây là một ví dụ điển hình về việc “lợi dụng có hệ thống niềm tin của người tiêu dùng”.

Trước các vụ việc nghiêm trọng như vậy, các chuyên gia khuyến cáo người dùng nên chỉ cài đặt tiện ích trình duyệt từ các trang web chính thức của dự án và luôn kiểm tra kỹ thông tin về nhà phát triển cũng như đánh giá của người dùng. Trong bối cảnh các cuộc tấn công nhắm vào ví tiền mã hóa có dấu hiệu gia tăng, giới chuyên môn nhận định việc nâng cao nhận thức an ninh và bảo vệ tài sản kỹ thuật số là điều vô cùng cấp thiết.

Từ khóa: “tấn công ví tiền mã hóa”, “GreedyBear”, “tiện ích giả mạo”