Chiến dịch lừa đảo social engineering nhắm vào người dùng tiền điện tử qua startup giả

Chiến dịch tấn công social nhằm vào người dùng tiền điện tử thông qua các công ty startup giả mạo đang diễn ra phức tạp và tinh vi.

Nhóm tội phạm sử dụng các nền tảng hợp pháp như Notion, GitHub kết hợp với tài khoản mạng social giả mạo để tạo dựng hình ảnh công ty uy tín, qua đó lừa đảo nhân viên và người dùng trong hệ sinh thái Web3 toàn cầu.

Chiến dịch lừa đảo qua công ty startup giả mạo diễn ra như thế nào?

Các nhóm tội phạm xây dựng công ty startup giả với lĩnh vực AI, game, Web3, qua các tài khoản mạng social có dấu tích xanh đã bị chiếm quyền. Họ sử dụng nền tảng uy tín như Notion, GitHub để tạo hồ sơ công ty chuyên nghiệp gồm blog, roadmap sản phẩm và hồ sơ nhân sự.

Việc dùng các tài khoản mạng social với lượng follower lớn giúp nâng mức độ tin cậy và thu hút nạn nhân, qua đó gửi tin nhắn lừa đảo trên X, Telegram, Discord đề nghị thanh toán tiền điện tử cho thử nghiệm phần mềm.

Chiến dịch cho thấy sự tinh vi và đầu tư kỹ lưỡng nhằm tạo dựng hình ảnh công ty uy tín để tăng tỷ lệ thành công trong lừa đảo.
Dan Schiappa, Giám đốc An ninh Mạng Darktrace, 2025

Tầm quan trọng của việc sử dụng nền tảng hợp pháp trong lừa đảo

Các tài liệu và website giả mạo được lưu trữ trên Notion, Medium, GitHub làm tăng cảm giác thực tế, chuyên nghiệp. Chẳng hạn, các kho mã trên GitHub tận dụng mã nguồn mở đã bị đánh cắp, đổi tên để tạo sự khác biệt giả tạo.

Hình ảnh hội nghị, triển lãm bị chỉnh sửa qua Eternal Decay giúp củng cố bằng chứng cho các buổi thuyết trình sản phẩm giả, khiến nạn nhân dễ bị đánh lừa.

Phần mềm độc hại tấn công người dùng ví tiền điện tử trên Windows và macOS như thế nào?

Malware trên Windows dưới dạng ứng dụng Electron yêu cầu mã đăng ký do nhân viên giả mạo cung cấp. Trước khi kích hoạt, các màn hình xác minh CloudFlare được sử dụng nhằm tránh phát hiện.

Trên macOS, phần mềm độc hại được phát hành dưới dạng tập tin DMG chứa bash script với kỹ thuật mã hóa cao như base64 và XOR, tự động khởi chạy và kiểm tra môi trường giả lập để chống phân tích.

Phần mềm độc hại được thiết kế để thu thập sâu các thông tin hệ thống và dữ liệu ví, đồng thời duy trì khả năng tồn tại lâu dài trên thiết bị nạn nhân.
Nhóm nghiên cứu bảo mật Darktrace, 2025

Hai phiên bản malware đều nhắm thẳng tới dữ liệu ví tiền điện tử, truy cập dữ liệu trình duyệt, cookie và tài liệu cá nhân, nén và gửi thông tin về máy chủ điều khiển bí mật.

Những công ty giả mạo nào đã được xác định trong chiến dịch này?

Darktrace phát hiện nhiều công ty giả mạo hoạt động đồng loạt như Pollens AI, Buzzu, Cloudsign, Swox, KlastAI, Wasper, Lunelior, BeeSync, Slax, Solune, Eternal Decay và nhiều thương hiệu khác có sự liên kết mạng lưới chặt chẽ.

Nhóm tấn công CrazyEvil đứng sau nhiều chiến dịch kể từ 2021 với doanh thu ước tính hàng triệu USD từ hoạt động lừa đảo, nhắm vào người dùng tiền điện tử, influencer và chuyên gia DeFi.

Những câu hỏi thường gặp

1. Chiến dịch giả mạo công ty startup diễn ra từ khi nào?
   Được ghi nhận bắt đầu từ tháng 12 năm 2024 và vẫn đang tiếp diễn toàn cầu.
2. Malware tấn công ví tiền điện tử trên macOS có đặc điểm gì?
   Phân phối bằng DMG chứa bash script mã hóa, tự động khởi động và kiểm tra môi trường ảo để tránh bị phát hiện.
3. Làm sao các công ty giả mạo tạo dựng hình ảnh tin cậy?
   Tận dụng các nền tảng chính thống, chỉnh sửa hình ảnh, sao chép mã nguồn và sử dụng tài khoản mạng social có dấu tích xanh.
4. Nhóm nào đứng sau chiến dịch này?
   Nhóm CrazyEvil hoạt động từ 2021 với nguồn thu hàng triệu USD từ hành vi độc hại.
5. Làm sao để bảo vệ bản thân trước các chiêu trò này?
   Người dùng cần thận trọng trước sự mời gọi từ các tài khoản không rõ ràng, xác thực nguồn gốc công ty và không cung cấp mã hoặc tải phần mềm từ nguồn không tin cậy.