Mạo danh các hãng AI và game blockchain, hacker giăng bẫy nhiều người dùng tiền mã hóa

Social engineering là hình thức lừa đảo dựa trên thao túng tâm lý con người để đánh cắp thông tin nhạy cảm, truy cập hệ thống trái phép hoặc lây nhiễm phần mềm độc hại. Thay vì tấn công kỹ thuật trực tiếp vào hệ thống máy tính, hacker tận dụng sự tin tưởng, thiếu cảnh giác hoặc tâm lý tự nhiên của con người để khiến nạn nhân tự cung cấp thông tin hoặc thực hiện hành động có lợi.

"Những hoạt động độc hại này giả mạo các công ty trí tuệ nhân tạo (AI), game và Web3 bằng cách sử dụng tài khoản mạng xã hội mạo danh và tài liệu dự án được lưu trữ trên các nền tảng hợp pháp như Notion và GitHub", nhà nghiên cứu Tara Gould của hãng an ninh mạng nổi tiếng Darktrace (Anh) chia sẻ với trang THN.

Notion là nền tảng quản lý công việc, ghi chú, wiki nội bộ và cộng tác nhóm. GitHub là nền tảng lưu trữ mã nguồn và cộng tác phát triển phần mềm lớn nhất thế giới.

Web3 là thế hệ thứ ba của internet, được xây dựng dựa trên các công nghệ phi tập trung như blockchain, với mục tiêu trao quyền kiểm soát dữ liệu và tài sản kỹ thuật số lại cho người dùng thay vì các tập đoàn công nghệ trung gian như Google, Meta Platforms hay Amazon.

Lừa đảo tinh vi

Chiến dịch lừa đảo trên mạng xã hội tinh vi này đã diễn ra một thời gian. Đợt trước đó (vào tháng 12.2024), hacker lợi dụng các nền tảng hội nghị truyền hình giả mạo để dụ nạn nhân tham gia cuộc họp với lý do thảo luận về một cơ hội đầu tư, sau khi tiếp cận họ qua các ứng dụng nhắn tin giống Telegram.

Nếu tải xuống ứng dụng họp giả mạo này, máy của người dùng sẽ bị âm thầm nhiễm phần mềm đánh cắp thông tin giống Realst. Realst được phát triển bằng ngôn ngữ lập trình Rust, có khả năng tấn công cả hệ điều hành Windows và macOS, nổi lên vào khoảng giữa năm 2023 và vẫn là mối đe dọa đang hoạt động.

Chiến dịch này được công ty Cado Security (Anh) đặt tên là Meeten, ám chỉ một trong những dịch vụ hội nghị giả mạo.

Cado Security là công ty chuyên cung cấp các giải pháp điều tra và ứng phó sự cố an ninh mạng, đặc biệt tập trung vào môi trường điện toán đám mây. Darktrace đã mua lại Cado Security đầu năm nay.

Hacker tạo ra các công ty khởi nghiệp AI và game blockchain giả mạo để lừa nạn nhân tải về phần mềm độc hại có khả năng đánh cắp tài sản kỹ thuật số trên cả hệ thống Windows và macOS - Ảnh: Internet

Xuất hiện dấu hiệu cho thấy chiến dịch nêu trên có thể đã diễn ra từ ít nhất tháng 3.2024, khi Jamf Threat Labs phát hiện việc sử dụng tên miền meethub[.]gg để phát tán Realst.

Jamf Threat Labs là nhóm chuyên gia nghiên cứu mối đe dọa, chuyên gia an ninh mạng và nhà khoa học dữ liệu thuộc Jamf - công ty hàng đầu trong việc quản lý, bảo mật các thiết bị Apple (Mac, iPhone, iPad) cho doanh nghiệp và giáo dục.

Mở rộng chủ đề

Phát hiện mới nhất từ Darktrace cho thấy chiến dịch không chỉ vẫn đang hoạt động mà còn áp dụng nhiều chủ đề rộng lớn hơn liên quan đến AI, game, Web3 và mạng xã hội.

Ngoài ra, những kẻ tấn công còn bị phát hiện lợi dụng các tài khoản mạng xã hội X bị xâm nhập có liên kết với các công ty hoặc nhân viên, đặc biệt là những tài khoản đã được xác minh, để tiếp cận mục tiêu tiềm năng và khiến nhiều công ty giả mạo của chúng trông đáng tin cậy hơn.

"Chúng sử dụng các nền tảng phổ biến trong giới công nghệ như X, Medium, GitHub và Notion. Mỗi công ty giả mạo đều có một trang web chuyên nghiệp với thông tin nhân viên, blog sản phẩm, sách trắng và lộ trình phát triển", nhà nghiên cứu Tara Gould tiết lộ.

Một trong những công ty giả được xác định là Eternal Decay (tài khoản X @metaversedecay), tự nhận là game dựa trên blockchain và chia sẻ phiên bản kỹ thuật số đã chỉnh sửa của các hình ảnh thật lên X nhằm tạo ấn tượng rằng chúng đang thuyết trình tại các hội nghị khác nhau. Mục tiêu cuối cùng là xây dựng hiện diện trực tuyến để khiến các công ty giả mạo này trông giống thật nhất có thể, từ đó tăng khả năng người dùng bị lây nhiễm phần mềm độc hại.

Một số công ty giả mạo khác đã được Darktrace nhận diện gồm:

BeeSync (tài khoản X @BeeSyncAI, @AIBeeSync)

Buzzu (tài khoản X @BuzzuApp, @AI_Buzzu, @AppBuzzu, @BuzzuApp)

Cloudsign (tài khoản X @cloudsignapp)

Dexis (tài khoản X @DexisApp)

KlastAI (tài khoản X KlastAI, liên kết tới tài khoản của Pollens AI)

Lunelior (tài khoản X @The_Lunelior)

NexLoop (tài khoản X @nexloopspace)

NexoraCore (tài khoản X @nexoradev)

NexVoo (tài khoản X @Nexvoospace)

Pollens AI (tài khoản X @pollensapp, @Pollens_app)

Slax (tài khoản X @SlaxApp, @Slax_app, @slaxproject)

Solune (tài khoản X @soluneapp)

Swox (tài khoản X @SwoxApp, @Swox_AI, @swox_app, @App_Swox, @AppSwox, @SwoxProject, @ProjectSwox)

Wasper (tài khoản X @wasperAI, @WasperSpace)

YondaAI (tài khoản X @yondaspace)

Chuỗi tấn công bắt đầu khi một trong các tài khoản do kẻ lừa đảo kiểm soát nhắn tin cho nạn nhân qua X, Telegram hoặc Discord, đề nghị họ thử nghiệm phần mềm để đổi lấy khoản thanh toán bằng tiền mã hóa.

Nếu đồng ý thử nghiệm, nạn nhân sẽ được chuyển hướng đến một trang web giả và được yêu cầu nhập mã đăng ký do “nhân viên” cung cấp để tải xuống ứng dụng Electron cho Windows hoặc một file DMG cho macOS, tùy thuộc hệ điều hành.

DMG (Apple Disk Image) là định dạng file nén đặc trưng của macOS, được dùng để phân phối phần mềm và nội dung số dưới dạng "ổ đĩa ảo" mà người dùng có thể mở ra và sử dụng như ổ đĩa thực.

Trên Windows, nếu mở ứng dụng độc hại, nạn nhân sẽ thấy một màn hình xác minh của Cloudflare, trong khi nó âm thầm thu thập thông tin hệ thống, tiến hành tải xuống và thực thi một file cài đặt MSI. Dù chưa nắm rõ toàn bộ chi tiết về những gì mã độc đang làm, có bằng chứng để tin rằng một loại phần mềm chuyên đánh cắp thông tin đã được kích hoạt và hoạt động trên hệ thống của nạn nhân ở giai đoạn này, theo trang THN.

Với macOS, cuộc tấn công diễn ra dưới dạng triển khai Atomic macOS Stealer (AMOS) - phần mềm đánh cắp thông tin có thể lấy tài liệu cũng như dữ liệu từ các trình duyệt web và ví tiền mã hóa, sau đó gửi đến máy chủ bên ngoài.

File DMG cũng có khả năng tải về một script shell nhằm thiết lập tính năng khởi động cùng hệ thống qua Launch Agent, đảm bảo ứng dụng tự động chạy khi người dùng đăng nhập. Script (tập lệnh) này cũng tải và chạy một file nhị phân viết bằng ngôn ngữ lập trình Objective-C hoặc Swift để ghi lại nhật ký sử dụng ứng dụng và thời gian tương tác của người dùng, rồi truyền dữ liệu đến máy chủ từ xa.

Tương đồng các chiến thuật của nhóm Crazy Evil

Darktrace lưu ý rằng chiến dịch này có nhiều điểm tương đồng với các chiến thuật do nhóm traffers mang tên Crazy Evil sử dụng. Nhóm này nổi tiếng với việc lừa người dùng cài đặt phần mềm độc hại như StealC, AMOS và Angel Drainer.

“Dù chưa rõ liệu các chiến dịch đó có thể được quy cho CrazyEvil hay bất kỳ nhóm phụ nào không, nhưng các kỹ thuật được mô tả có bản chất tương tự. Chiến dịch này cho thấy mức độ mà các tác nhân đe dọa sẵn sàng thực hiện để khiến những công ty giả mạo trông hợp pháp nhằm đánh cắp tiền mã hóa của nạn nhân, bên cạnh việc sử dụng các phiên bản malware mới tinh vi và khó phát hiện hơn”, nhà nghiên cứu Tara Gould nhận xét.

Sơn Vân