Nhóm hacker GreedyBear đã đánh cắp hơn 1 triệu USD tiền điện tử qua tấn công ba mũi nhọn kết hợp phần mở rộng trình duyệt, mã độc và trang web giả mạo.
Chiến dịch tấn công sử dụng hơn 650 công cụ độc hại, với kỹ thuật tinh vi như “extension hollowing” giúp qua mặt kiểm duyệt, đồng thời triển khai mạng lưới website lừa đảo và phần mềm độc hại chủ đề tiền điện tử đa dạng.
- GreedyBear triển khai 150 phần mở rộng độc hại giả dạng ví MetaMask, kỹ thuật “extension hollowing” giúp qua mặt kiểm duyệt.
- Phân phối khoảng 500 mã độc chủ đề tiền điện tử qua các trang phần mềm lậu ở Nga.
- Tấn công được điều khiển tập trung bởi một IP, sử dụng cả mã nguồn do AI hỗ trợ tạo nhanh.
Nhóm GreedyBear đã thực hiện cuộc tấn công như thế nào?
Nhóm hacker GreedyBear triển khai chiến dịch thông qua ba hướng tấn công chính: phần mở rộng trình duyệt, mã độc và trang web giả mạo, nhằm đánh cắp tiền điện tử.
Họ phát tán hơn 150 phần mở rộng độc hại trên cửa hàng Firefox, giả dạng ví MetaMask nổi tiếng bằng kỹ thuật “extension hollowing” giúp các extension giả mạo vượt qua bước xét duyệt lúc ban đầu trước khi chèn mã độc vào người dùng.
Song song, nhóm cũng phân phối gần 500 phần mềm mã độc liên quan tiền điện tử, chủ yếu trên các trang web phát hành phần mềm lậu tại Nga, đồng thời xây dựng mạng lưới trang web giả mạo các ví phần cứng và sản phẩm liên quan để lừa đảo.
Tại sao chiến dịch này được xem là một bước tiến trong tội phạm tiền điện tử?
Cuộc tấn công thể hiện tính công nghiệp hóa bằng cách sử dụng một IP duy nhất cho toàn bộ hệ thống, phối hợp nhiều công cụ độc hại và mở rộng nhanh nhờ sự hỗ trợ của AI trong tạo mã.
Điều này cho thấy mức độ tinh vi và tốc độ phát triển tội phạm tiền điện tử ngày càng cao, buộc các kho ứng dụng phải cải tiến cơ chế kiểm duyệt để ngăn chặn kịp thời các mối nguy hại.
“Việc kiểm duyệt không đủ chặt chẽ cho phép phần mềm độc hại vượt qua cửa hàng extension, đây là dấu hiệu một công nghiệp tội phạm số mới đang nổi lên.”
Chuyên gia an ninh mạng, Koi Security, 8/2023
Điều gì khiến kỹ thuật “extension hollowing” trở nên nguy hiểm?
“Extension hollowing” là kỹ thuật cho phép kẻ tấn công tải lên phần mở rộng không chứa mã độc lúc đầu nhưng sau đó âm thầm chèn mã độc khi được phép truy cập.
Kỹ thuật này giúp bypass kiểm duyệt của cửa hàng extension và dễ dàng tấn công người dùng nếu hộp thoại cấp quyền bị bỏ qua hoặc người dùng thiếu cảnh giác.
Các bên liên quan nên làm gì để ngăn chặn các cuộc tấn công tương tự?
Các kho ứng dụng cần nâng cao hệ thống kiểm duyệt tự động và kiểm tra mã nguồn sâu hơn, phối hợp chuyên gia an ninh để phát hiện hành vi mã độc tinh vi.
Người dùng được khuyên chỉ cài đặt phần mở rộng và phần mềm từ nguồn tin cậy, đồng thời kiểm tra kỹ quyền truy cập của extension và sử dụng các biện pháp bảo vệ đa lớp cho ví tiền điện tử.
Các câu hỏi thường gặp
Phần mở rộng trình duyệt độc hại là gì?
Đó là các extension được kẻ xấu tạo giả hoặc chỉnh sửa chứa mã độc, nhằm đánh cắp dữ liệu hoặc kiểm soát thiết bị người dùng.
Làm sao nhận biết ví tiền điện tử giả mạo trên mạng?
Ví giả mạo thường có giao diện gần giống ví thật nhưng được phân phối từ trang web không chính thức hoặc có dấu hiệu phishing như URL sai khác hoặc yêu cầu cung cấp private key.
Người dùng có thể tự bảo vệ mình khỏi mã độc như thế nào?
Nên cài phần mềm diệt virus, cập nhật hệ thống, tải extension từ kho chính thức, kiểm tra đánh giá, và không cung cấp private key cho bất kỳ ai.
AI có thể giúp tội phạm tiền điện tử như thế nào?
AI hỗ trợ kẻ xấu tự động tạo mã độc, phát triển nhanh các biến thể để né tránh kiểm duyệt và tăng hiệu quả tấn công.
Chính sách kiểm duyệt phần mở rộng cần thay đổi ra sao?
Cần áp dụng kiểm tra đa chiều, gồm phân tích hành vi runtime và rà soát mã nguồn để phát hiện code độc hại ẩn sâu trong extension.
