GreedyBear đánh cắp hơn 1 triệu USD tiền điện tử qua giả mạo ví MetaMask

Nhóm hacker Nga GreedyBear đã thực hiện chiến dịch tấn công tiền điện tử tinh vi qua các tiện ích mở rộng Firefox giả mạo và phần mềm độc hại nhằm đánh cắp hơn 1 triệu USD.

Họ sử dụng kỹ thuật “Extension Hollowing” để vượt qua kiểm duyệt cửa hàng ứng dụng, kết hợp với phát tán phần mềm độc hại qua các website phân phối phần mềm lậu, làm tăng hiệu quả chiếm đoạt tài sản kỹ thuật số.

Nhóm GreedyBear đã sử dụng những phương thức nào để đánh cắp tiền điện tử?

GreedyBear triển khai 150 tiện ích mở rộng Firefox giả mạo cùng gần 500 tập tin thực thi độc hại nhằm chiếm đoạt hơn 1 triệu USD tiền điện tử.

Hình thức chủ yếu là tạo các tiện ích giả mạo các ví tiền điện tử phổ biến như MetaMask, Exodus, Rabby Wallet và TronLink. Đồng thời họ phát tán các tập tin chứa mã độc trên website phân phối phần mềm không chính thức tại Nga, bao gồm mã độc lấy cắp thông tin, ransomware và Trojan.

Phương thức này không chỉ tận dụng lòng tin của người dùng vào các tiện ích quen thuộc mà còn khai thác việc tải phần mềm không rõ nguồn gốc, khiến hệ thống bị lộ thông tin ví và tài sản.

Extension Hollowing là gì và nó giúp nhóm tấn công như thế nào?

Extension Hollowing là kỹ thuật nhóm hacker dùng để bypass hệ thống kiểm duyệt trên cửa hàng tiện ích Firefox, bằng cách đăng tải phiên bản tiện ích ban đầu hoàn toàn vô hại, sau đó cập nhật mã độc.

Kỹ thuật này khiến các hệ thống kiểm tra bảo mật không phát hiện được các hành vi độc hại ngay từ đầu. Với chiến thuật này, nhóm GreedyBear thành công chiếm đa số trong khoản lợi nhuận hơn 1 triệu USD từ các cuộc tấn công.

Việc lợi dụng Extension Hollowing để cập nhật mã độc nhằm qua mắt hệ thống kiểm duyệt đã tạo ra kênh tấn công rất hiệu quả, đặc biệt trong việc đánh cắp thông tin ví người dùng.

Idan Dardikman, CTO Koi Security, 2024

Hậu quả và tác động của chiến dịch tấn công này là gì?

Chiến dịch này đã khiến hàng triệu USD bị đánh cắp, làm suy giảm niềm tin của người dùng vào các ứng dụng ví và phần mềm tải từ internet, đặc biệt tại các thị trường sử dụng nhiều sản phẩm giả mạo và phần mềm lậu.

Thêm vào đó, sự xuất hiện các malware như ransomware và trojan không chỉ gây thiệt hại về tiền bạc mà còn làm tăng nguy cơ rò rỉ thông tin cá nhân, ảnh hưởng tới toàn bộ hệ sinh thái tiền điện tử.

Người dùng cần nâng cao cảnh giác và chỉ tải tiện ích từ nguồn chính thức, hạn chế sử dụng phần mềm không xác thực để bảo vệ tài sản kỹ thuật số.

Các biện pháp phòng chống người dùng tiền điện tử có thể áp dụng?

Người dùng nên kiểm tra kỹ thông tin nhà phát triển và nhận xét thực tế trên cửa hàng tiện ích. Chỉ cài đặt các tiện ích được cập nhật thường xuyên với phản hồi uy tín từ cộng đồng.

Việc sử dụng ví lạnh hoặc các giải pháp bảo mật đa lớp (2FA, private key offline) cũng giúp giảm thiểu rủi ro khi bị đánh cắp thông tin qua mã độc tiện ích mở rộng hoặc phần mềm độc hại.

Người dùng luôn cần cảnh giác khi tải các tiện ích hoặc phần mềm và áp dụng biện pháp bảo vệ đa tầng cho ví tiền điện tử của mình.

Idan Dardikman, CTO Koi Security, 2024

Những câu hỏi thường gặp

GreedyBear là nhóm hacker như thế nào?

GreedyBear là nhóm hacker từ Nga, nổi bật với nhiều chiến dịch tấn công tiền điện tử qua các tiện ích giả mạo và malware nhằm đánh cắp tài sản kỹ thuật số.

Extension Hollowing hoạt động ra sao?

Đây là kỹ thuật gửi tiện ích vô hại lên cửa hàng, sau đó cập nhật mã độc để lừa kiểm duyệt, từ đó phát tán phần mềm độc hại.

Làm sao nhận biết tiện ích mở rộng giả mạo?

Người dùng cần xem xét nhà phát triển, đánh giá từ cộng đồng và tránh các tiện ích có ít lượt tải hoặc đánh giá bất thường.

Phần mềm độc hại trên Windows ảnh hưởng thế nào đến người dùng?

Phần mềm chứa mã độc có thể lấy cắp dữ liệu cá nhân, thông tin ví và mã khóa, gây thiệt hại nặng nề về tài sản.

Nên làm gì khi nghi ngờ bị tấn công qua tiện ích mở rộng?

Nên gỡ bỏ ngay tiện ích, đổi mật khẩu, kiểm tra ví kỹ thuật số và liên hệ chuyên gia bảo mật để được hỗ trợ.