Phần Mềm Độc Hại Tiền Điện Tử: Xu Hướng Mới và Các Nhóm Đe Dọa
Trong thế giới tài sản kỹ thuật số, một làn sóng mới của phần mềm độc hại tiền điện tử đang lan rộng, và lần này, các tác nhân chứa mã độc thông minh và linh hoạt hơn bao giờ hết. Đứng đầu trong làn sóng này là nhóm APT Librarian Ghouls, một nhóm đe dọa liên tục tiên tiến tập trung vào Nga, cùng với Crocodilus, một phần mềm ăn cắp đa nền tảng có nguồn gốc từ trojan ngân hàng Android.
Chiến Dịch Tấn Công của Librarian Ghouls
Chiến dịch mới nhất của Librarian Ghouls đã sử dụng phần mềm hợp pháp như AnyDesk để ẩn giấu các trình khai thác tiền điện tử và keylogger. Khi đã xâm nhập, chúng trở nên hoàn toàn im lặng — nhất là vào nửa đêm. Nhóm APT này ngụy trang các cuộc tấn công dưới dạng tài liệu thông thường (ví dụ: lệnh thanh toán) trong email lừa đảo. Khi nạn nhân mở tài liệu, phần mềm độc hại sẽ cài đặt 4t Tray Minimizer để che giấu các quy trình độc hại, đồng thời khởi động AnyDesk cho truy cập từ xa và XMRig để khai thác Monero. Đặc biệt, chúng ăn cắp thông tin xác thực ví tiền điện tử và khóa đăng ký.
Một yếu tố mới trong năm 2025 là khả năng kích hoạt vào nửa đêm — phần mềm độc hại chỉ hoạt động vào ban đêm để giảm thiểu khả năng bị phát hiện. Cuộc tấn công của chúng không chỉ đơn thuần là khai thác brute-force; đúng hơn, chúng kết hợp sự chuyên môn kỹ thuật với sự cưỡng chế tâm lý, tấn công vào mọi bước trong quy trình tiền điện tử.
Crocodilus: Mối Đe Dọa Toàn Cầu
Crocodilus, ban đầu là một trojan ngân hàng của Thổ Nhĩ Kỳ, giờ đây nhắm đến người dùng tiền điện tử toàn cầu qua các ứng dụng giả mạo dưới dạng Coinbase, MetaMask, hoặc các công cụ khai thác. Nó sử dụng bộ thu thập cụm từ hạt giống tự động quét thiết bị để tìm dữ liệu ví. Kỹ thuật xã hội thông qua các liên lạc “Hỗ trợ Ngân hàng” giả trên điện thoại của người dùng cũng rất phổ biến.
Nhóm ThreatFabric MTI thông báo: “Bộ phân tích mới của Crocodilus hoạt động với độ chính xác phẫu thuật để trích xuất cụm từ hạt giống. Chỉ cần một cú nhấp chuột vào liên kết giả, và ví của bạn sẽ biến mất.”
Crocodilus đã nhanh chóng phát triển từ một mối đe dọa khu vực thành một mối đe dọa toàn cầu. Không còn bị giới hạn ở Android, giờ đây nó nhắm đến các tiện ích mở rộng trình duyệt độc hại, các ứng dụng máy tính để bàn giả mạo, và thậm chí cả bot Telegram để mở rộng tầm ảnh hưởng. Tính năng chết người nhất của phần mềm độc hại này là khả năng ăn cắp cụm từ hạt giống từ dữ liệu clipboard, ảnh chụp màn hình và dữ liệu tự động điền, thậm chí trước khi nạn nhân nhận ra mình đã bị nhắm đến.
Thị Trường Đen và Chiến Thuật Lừa Đảo Giả Mạo
Các tác nhân đe dọa bắt đầu bán quyền truy cập vào các ví bị xâm phạm trên các diễn đàn darknet, thiết lập một thị trường đen phồn thịnh cho các tài sản tiền điện tử bị đánh cắp ngày càng lớn và phức tạp. Thỉnh thoảng, Crocodilus thậm chí còn gửi những số điện thoại “hỗ trợ“ giả mạo vào điện thoại của nạn nhân, mời gọi người dùng cung cấp thông tin nhạy cảm dưới hình thức hỗ trợ kỹ thuật.
Tin tặc đang khai thác X (Twitter) thông qua các tài khoản đã xác minh bị xâm chiếm để quảng bá các airdrop lừa đảo, mã QR liên kết tới các hợp đồng thông minh làm cạn kiệt ví và các cuộc trò chuyện hỗ trợ deepfake tương tự như các đại lý thực. Chẳng hạn, vào tháng 5 năm 2025, một buổi livestream deepfake “Elon Musk” kêu gọi người xem quét mã QR để nhận quà tặng “TeslaCoin”, đã khiến nạn nhân mất hơn 200K USD chỉ trong 30 phút.
Đề Xuất Phòng Thủ
Một trong những xu hướng đáng lo ngại nhất là sự phát triển của các cuộc trò chuyện hỗ trợ deepfake theo thời gian thực. Tin tặc sử dụng các avatar ảnh hưởng bởi AI để hóa trang thành các thương hiệu hoặc người có ảnh hưởng được công nhận trên X, cung cấp “giúp đỡ” thực tế và kích thích nạn nhân chia sẻ cụm từ hạt giống hoặc khóa riêng của họ. Những deepfake này có độ thuyết phục cao đến mức ngay cả những người dùng tiền điện tử kỳ cựu cũng bị mắc bẫy.
Theo Hướng dẫn năm 2025 của Quillaudits, để bảo vệ khỏi những mối đe dọa như vậy, người dùng cần áp dụng một phương pháp an ninh đa lớp. Các chuyên gia khuyên sử dụng ví phần cứng cho các khoản đầu tư có giá trị cao, kích hoạt xác thực hai yếu tố và không bao giờ chia sẻ cụm từ hạt giống — ngay cả với nhân viên hỗ trợ tưởng chừng hợp pháp hoặc thông qua các tài khoản xã hội được công nhận.
Thêm vào đó, nên kiểm tra xác nhận ví thường xuyên, giữ phần mềm được cập nhật và tách biệt các hoạt động tiền điện tử vào các thiết bị sử dụng một lần cũng có thể giảm thiểu rủi ro. Khi các kẻ tấn công trở nên ngày càng sáng tạo và thông minh hơn, phương pháp phòng thủ tốt nhất chính là duy trì sự hiểu biết đầy đủ và luôn đặt câu hỏi.
