Công ty bảo mật blockchain SlowMist đã tiết lộ một cuộc tấn công lừa đảo mới liên quan đến ứng dụng Skype giả mạo để đánh cắp tiền điện tử từ một nạn nhân không nghi ngờ.
Nạn nhân đã liên hệ trực tiếp với SlowMist, giải thích rằng tiền của anh ta đã bị đánh cắp sau khi tải xuống thứ mà anh ta nghĩ là ứng dụng Skype từ internet.
Trong báo cáo của mình, SlowMist cho biết vụ lừa đảo này nhấn mạnh lỗ hổng mà người dùng phải đối mặt, đặc biệt là ở các khu vực như Trung Quốc, nơi tải xuống trực tiếp có thể thay thế cho các cửa hàng ứng dụng chính thức không có sẵn.
SlowMist viết:
“Do không thể truy cập Google Play ở Trung Quốc, nhiều người dùng thường tìm kiếm và tải xuống ứng dụng trực tiếp từ internet.
Tuy nhiên, các loại ứng dụng giả mạo có sẵn trực tuyến không chỉ giới hạn ở ví và sàn giao dịch.
Các ứng dụng truyền thông xã hội như Telegram, WhatsApp và Skype cũng là mục tiêu bị nhắm tới nhiều.”
Cuộc điều tra sau đó của SlowMist đã tiết lộ một số dấu hiệu nguy hiểm, với ngày chứng chỉ của ứng dụng có hiệu lực cho thấy nó mới được tạo vào tháng 9 và thông tin chữ ký chỉ ra nguồn gốc từ Trung Quốc.
SlowMist lưu ý rằng một cuộc tìm kiếm trên Baidu đã tìm thấy nhiều nguồn của ứng dụng giả mạo phù hợp với nguồn do nạn nhân cung cấp.
Ứng dụng giả mạo đã đánh cắp tiền điện tử như thế nào
Ứng dụng Skype giả mạo, được ngụy trang thành công cụ trò chuyện video chính hãng và được tiêm mã độc, theo dõi và tải lên các tệp cũng như hình ảnh từ thiết bị của người dùng nhằm thu thập thông tin nhạy cảm.
Vì các ứng dụng như Skype được sử dụng để truyền tệp và thực hiện cuộc gọi nên người dùng thường không nghi ngờ hoạt động này, SlowMist cho biết – cho phép kẻ tấn công lấy được quyền của người dùng để tải tệp lên, cũng như thông tin thiết bị, ID người dùng và số điện thoại.
Cụ thể hơn, ứng dụng Skype giả mạo sẽ giám sát các tin nhắn đến và đi để xem chúng có chứa địa chỉ blockchain Ethereum hoặc Tron hay không.
SlowMist cho biết, nếu bị phát hiện, những kẻ tấn công sẽ thay thế chúng bằng các địa chỉ độc hại động và được mã hóa cứng nhằm cố gắng định tuyến bất kỳ khoản thanh toán nào cho chính chúng.
Nhóm SlowMist phát hiện một trong những địa chỉ Tron độc hại được sử dụng đã nhận được gần 200,000 USDT (200,000 USD) qua 110 giao dịch gửi tiền, gần đây nhất là vào ngày 8 tháng 11.
Họ cũng xác định được một địa chỉ Ethereum đã nhận được 7,800 USDT trong 10 giao dịch được chuyển ra ngoài bằng swap service của BitKeep, với phí giao dịch được lấy từ OKX.
Tuy nhiên, phần phụ trợ của giao diện lừa đảo hiện đã bị tắt và không còn trả về các địa chỉ độc hại nữa, SlowMist lưu ý.
Kết nối ứng dụng giả mạo Binance
Đáng chú ý, tên miền lừa đảo được liên kết với ứng dụng ban đầu đã mạo danh sàn giao dịch tiền điện tử Binance trước khi chuyển sang bắt chước phần phụ trợ của Skype vào tháng 5.
SlowMist cho biết, một loạt tên miền giả mạo sử dụng định dạng “bn-download[number].com” đã được sử dụng cụ thể cho các cuộc tấn công lừa đảo ứng dụng giả mạo Binance, cho thấy nhóm này đang tập trung chung vào lĩnh vực web3 sinh lời.
SlowMist khuyên người dùng chỉ nên sử dụng các kênh tải xuống ứng dụng chính thức và nâng cao nhận thức về bảo mật của họ để giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công lừa đảo như vậy.
Tin Tức Bitcoin tổng hợp.
