Phần mềm độc hại ngụy trang dưới dạng các công ty tiền điện tử lớn nhắm mục tiêu đến hơn 10 triệu người trên toàn thế giới
crypto.news31/07/2025
Công ty bảo mật Check Point cảnh báo về một phần mềm độc hại có tên JSCEAL đang mạo danh các nền tảng tiền điện tử để lôi kéo hàng triệu nạn nhân đánh cắp dữ liệu liên quan đến tiền điện tử, nó hoạt động như thế nào? Trong một bài đăng trên blog gần đây, Check Point Research đã thông báo cho các nhà giao dịch tiền điện tử về một mối đe dọa khá mới trên mạng nhắm mục tiêu cụ thể vào dữ liệu liên quan đến tiền điện tử bằng cách mạo danh khoảng 50 nền tảng tiền điện tử, bao gồm Binance, MetaMask, eToro, DEX Screener, Monero, Kraken và nhiều nền tảng khác. Phần mềm độc hại có tên JSCEAL đã hoạt động từ tháng 3 năm 2024, với hoạt động hạn chế nhưng đã phát triển thành một hoạt động phức tạp hơn. "Trong giai đoạn mới nhất của chiến dịch, các tác nhân đe dọa đã có được một số lượng lớn tên miền và áp dụng các kỹ thuật đặc biệt để trốn tránh bị phát hiện, bao gồm cả việc đôi khi tránh triển khai tải trọng cuối cùng", công ty bảo mật cho biết. Chiến dịch phần mềm độc hại tạo ra các quảng cáo của công ty tiền điện tử để lôi kéo nạn nhân. Khi họ nhấp vào quảng cáo, họ sẽ được dẫn đến "các trang web mồi nhử" hướng dẫn họ cài đặt các ứng dụng giả mạo", tin rằng chúng là các nền tảng tiền điện tử thực được sử dụng để giao dịch. Trong khi đó, các tác nhân độc hại xâm nhập vào hệ thống của nạn nhân và đánh cắp dữ liệu liên quan đến tiền điện tử của họ. "Trong nửa đầu năm 2025, các tác nhân đe dọa đã quảng bá khoảng 35.000 quảng cáo độc hại, dẫn đến vài triệu lượt xem chỉ riêng ở EU", Check Point viết trong bài đăng trên blog của mình. Theo ước tính của công ty bảo mật, mỗi quảng cáo có thể tiếp cận ít nhất 100 người dùng ở Liên minh Châu Âu. Điều đó có nghĩa là với 35.000 quảng cáo, tin tặc đã có thể tiếp cận 3,5 triệu người dùng chỉ riêng trong EU. Trong khi đó, công ty chưa tính đến người dùng bên ngoài EU. Xem xét cơ sở người dùng mạng xã hội trên toàn thế giới lớn hơn nhiều so với EU, các công ty bảo mật kết luận rằng "phạm vi tiếp cận toàn cầu có thể dễ dàng vượt quá 10 triệu [người]". Theo bài đăng trên blog, phiên bản mới nhất của chiến dịch phần mềm độc hại triển khai cái gọi là "các phương pháp chống trốn tránh độc đáo" gây khó khăn cho việc phát hiện. Bằng cách sử dụng một trang web giả mạo hướng dẫn họ cài đặt phần mềm độc hại trực tiếp vào thiết bị của họ, công ty bảo mật cho biết phương pháp hai lớp "làm phức tạp đáng kể các nỗ lực phân tích và phát hiện". JSCEAL sử dụng ngôn ngữ lập trình JavaScript, cũng như những gì công ty bảo mật coi là "sự kết hợp của mã được biên dịch và obfuscation nặng". Bằng cách này, nạn nhân không cần kích hoạt mã để chạy nó. Hơn nữa, mục đích chính của chiến dịch là đánh cắp thông tin từ thiết bị bị nhiễm và gửi nó đến máy chủ chính của tin tặc. Dựa trên phân tích của công ty, những kẻ tấn công thu thập "thông tin máy mở rộng", bao gồm vị trí, mật khẩu tự động điền, chi tiết mạng, thông tin email và cấu hình proxy. Ngoài ra, nếu những kẻ tấn công cho rằng nạn nhân có giá trị, họ sẽ thêm một mã bổ sung có thể tải xuống và thực thi "tải trọng cuối cùng" để đánh cắp thêm dữ liệu và có thể xóa mọi dấu vết của phần mềm độc hại khỏi hệ thống của nạn nhân. Tuy nhiên, người dùng vẫn có thể sử dụng phần mềm chống phần mềm độc hại để phát hiện các hành vi thực thi độc hại và ngăn chặn các cuộc tấn công đang diễn ra trên thiết bị đã bị nhiễm. [Check Point]
10s Hiểu rõ thị trường crypto
Your One-Stop Crypto Investment Powerhouse
Phần mềm độc hại ngụy trang dưới dạng các công ty tiền điện tử lớn nhắm mục tiêu đến hơn 10 triệu người trên toàn thế giới
crypto.news31/07/2025
Công ty bảo mật Check Point cảnh báo về một phần mềm độc hại có tên JSCEAL đang mạo danh các nền tảng tiền điện tử để lôi kéo hàng triệu nạn nhân đánh cắp dữ liệu liên quan đến tiền điện tử, nó hoạt động như thế nào? Trong một bài đăng trên blog gần đây, Check Point Research đã thông báo cho các nhà giao dịch tiền điện tử về một mối đe dọa khá mới trên mạng nhắm mục tiêu cụ thể vào dữ liệu liên quan đến tiền điện tử bằng cách mạo danh khoảng 50 nền tảng tiền điện tử, bao gồm Binance, MetaMask, eToro, DEX Screener, Monero, Kraken và nhiều nền tảng khác. Phần mềm độc hại có tên JSCEAL đã hoạt động từ tháng 3 năm 2024, với hoạt động hạn chế nhưng đã phát triển thành một hoạt động phức tạp hơn. "Trong giai đoạn mới nhất của chiến dịch, các tác nhân đe dọa đã có được một số lượng lớn tên miền và áp dụng các kỹ thuật đặc biệt để trốn tránh bị phát hiện, bao gồm cả việc đôi khi tránh triển khai tải trọng cuối cùng", công ty bảo mật cho biết. Chiến dịch phần mềm độc hại tạo ra các quảng cáo của công ty tiền điện tử để lôi kéo nạn nhân. Khi họ nhấp vào quảng cáo, họ sẽ được dẫn đến "các trang web mồi nhử" hướng dẫn họ cài đặt các ứng dụng giả mạo", tin rằng chúng là các nền tảng tiền điện tử thực được sử dụng để giao dịch. Trong khi đó, các tác nhân độc hại xâm nhập vào hệ thống của nạn nhân và đánh cắp dữ liệu liên quan đến tiền điện tử của họ. "Trong nửa đầu năm 2025, các tác nhân đe dọa đã quảng bá khoảng 35.000 quảng cáo độc hại, dẫn đến vài triệu lượt xem chỉ riêng ở EU", Check Point viết trong bài đăng trên blog của mình. Theo ước tính của công ty bảo mật, mỗi quảng cáo có thể tiếp cận ít nhất 100 người dùng ở Liên minh Châu Âu. Điều đó có nghĩa là với 35.000 quảng cáo, tin tặc đã có thể tiếp cận 3,5 triệu người dùng chỉ riêng trong EU. Trong khi đó, công ty chưa tính đến người dùng bên ngoài EU. Xem xét cơ sở người dùng mạng xã hội trên toàn thế giới lớn hơn nhiều so với EU, các công ty bảo mật kết luận rằng "phạm vi tiếp cận toàn cầu có thể dễ dàng vượt quá 10 triệu [người]". Theo bài đăng trên blog, phiên bản mới nhất của chiến dịch phần mềm độc hại triển khai cái gọi là "các phương pháp chống trốn tránh độc đáo" gây khó khăn cho việc phát hiện. Bằng cách sử dụng một trang web giả mạo hướng dẫn họ cài đặt phần mềm độc hại trực tiếp vào thiết bị của họ, công ty bảo mật cho biết phương pháp hai lớp "làm phức tạp đáng kể các nỗ lực phân tích và phát hiện". JSCEAL sử dụng ngôn ngữ lập trình JavaScript, cũng như những gì công ty bảo mật coi là "sự kết hợp của mã được biên dịch và obfuscation nặng". Bằng cách này, nạn nhân không cần kích hoạt mã để chạy nó. Hơn nữa, mục đích chính của chiến dịch là đánh cắp thông tin từ thiết bị bị nhiễm và gửi nó đến máy chủ chính của tin tặc. Dựa trên phân tích của công ty, những kẻ tấn công thu thập "thông tin máy mở rộng", bao gồm vị trí, mật khẩu tự động điền, chi tiết mạng, thông tin email và cấu hình proxy. Ngoài ra, nếu những kẻ tấn công cho rằng nạn nhân có giá trị, họ sẽ thêm một mã bổ sung có thể tải xuống và thực thi "tải trọng cuối cùng" để đánh cắp thêm dữ liệu và có thể xóa mọi dấu vết của phần mềm độc hại khỏi hệ thống của nạn nhân. Tuy nhiên, người dùng vẫn có thể sử dụng phần mềm chống phần mềm độc hại để phát hiện các hành vi thực thi độc hại và ngăn chặn các cuộc tấn công đang diễn ra trên thiết bị đã bị nhiễm. [Check Point]
Quét mã QR để khám phá thêm thông tin quan trọng
Nền tảng nghiên cứu tài chính toàn diện cho các nhà đầu tư Crypto
00:00 / 00:00
00:0000:0000:00