News

GreedyBear – Nhóm lừa đảo tiền mã hóa hoạt động quy mô công nghiệp, đánh cắp hơn 1 triệu USD

Kaido

3 min read
GreedyBear – Nhóm lừa đảo tiền mã hóa hoạt động quy mô công nghiệp, đánh cắp hơn 1 triệu USD

Theo báo cáo mới nhất từ công ty an ninh mạng Koi Security, một nhóm tội phạm mạng có tên “GreedyBear” đã thực hiện chiến dịch lừa đảo tiền mã hóa ở quy mô công nghiệp, đánh cắp hơn 1 triệu USD thông qua tiện ích trình duyệt giả mạo, phần mềm độc hại và các trang web lừa đảo.

Chiến lược tấn công 3 tầng

Khác với các nhóm tội phạm thông thường chỉ tập trung vào một hình thức tấn công, GreedyBear đã triển khai đồng thời 3 hướng:

  1. Tiện ích mở rộng trình duyệt giả mạo ví tiền mã hóa
    Nhóm đã phát hành hơn 150 tiện ích độc hại lên kho ứng dụng Firefox, giả dạng các ví phổ biến như MetaMask, TronLink, Exodus và Rabby Wallet.
    • Thủ thuật chính là “Extension Hollowing”: đầu tiên đăng tải tiện ích hợp lệ để vượt kiểm duyệt, sau đó cập nhật thành phiên bản độc hại.
    • Các tiện ích này đánh cắp trực tiếp thông tin ví từ giao diện người dùng.
  2. Phần mềm độc hại chuyên biệt nhắm vào người dùng crypto
    Koi Security phát hiện gần 500 mẫu mã độc, bao gồm:
    • LummaStealer: đánh cắp thông tin đăng nhập ví.
    • Luca Stealer: mã độc tống tiền, yêu cầu thanh toán bằng tiền mã hóa.
      Các phần mềm này thường phát tán qua các trang web chia sẻ phần mềm lậu tại Nga.
  3. Mạng lưới website lừa đảo được thiết kế chuyên nghiệp
    Không chỉ dừng lại ở các trang đăng nhập giả, GreedyBear còn dựng nên các trang giới thiệu sản phẩm giả mạo, quảng cáo ví phần cứng, dịch vụ sửa chữa ví hoặc phần mềm ví mới.

Quy mô vận hành “công nghiệp”

Koi Security nhận định chiến dịch này được điều hành chuyên nghiệp, có máy chủ trung tâm điều phối toàn bộ hoạt động như: thu thập thông tin, điều khiển mã độc, quản lý trang web giả và xử lý thanh toán tống tiền. Đặc biệt, mọi hoạt động đều được vận hành từ một địa chỉ IP duy nhất – điều hiếm thấy trong các chiến dịch đa tầng như vậy.

Ngoài ra, các đoạn mã độc còn có dấu hiệu được viết bằng AI, cho phép mở rộng tấn công nhanh chóng và khó phát hiện hơn.

“Chiến dịch GreedyBear cho thấy tội phạm mạng đã ngừng suy nghĩ nhỏ lẻ. Họ đang vũ khí hóa lòng tin của người dùng vào kho tiện ích trình duyệt và dùng AI để nâng cấp quy mô tấn công,”
Tuval Admoni, chuyên gia từ Koi Security.

Cảnh báo với người dùng tiền mã hóa

Ông Deddy Lavid, CEO công ty Cyvers, nhận định:

“Người dùng đang trở thành mục tiêu chính do sự tin tưởng mù quáng vào kho tiện ích và các ví quen thuộc. Chúng ta cần quy trình kiểm duyệt chặt chẽ hơn từ nhà phát triển trình duyệt và sự tỉnh táo từ người dùng.”

Khuyến nghị:

  • Không cài đặt tiện ích mở rộng ví từ nguồn không chính thống.
  • Không tải phần mềm lậu, bẻ khóa.
  • Luôn kiểm tra kỹ tên miền và đường dẫn khi truy cập website ví hoặc sản phẩm liên quan đến crypto.
  • Sử dụng ví phần cứng có xác thực hai lớp khi lưu trữ tài sản lớn.

Tấn công mạng vào lĩnh vực crypto đang ngày càng tinh vi, quy mô và khó phát hiện hơn. GreedyBear chỉ là một ví dụ điển hình cho kỷ nguyên mới của an ninh blockchain.

Read more

## The below codes work for latest Ghost default theme source - v1.2.3