An ninh mạng

Hơn 236.000 trang web sử dụng framework DCloud Uni-App để lừa đảo tiền điện tử và phishing

Các nhà nghiên cứu từ Infoblox đã phát hiện mạng lưới khổng lồ gồm hơn 236.000 trang web sử dụng framework DCloud Uni-App để thực hiện các chiến dịch lừa đảo đầu tư, phishing và đánh cắp ví tiền điện...

Nguyen Hung
29 Tháng 6, 2026 3 Min Read
1 0

Một báo cáo mới từ công ty tình báo mối đe dọa DNS Infoblox đã phơi bày quy mô đáng báo động của các chiến dịch lừa đảo trực tuyến. Theo đó, hơn 236.000 tên miền đã được xác định sử dụng các mẫu (template) lừa đảo được xây dựng dựa trên DCloud Uni-App – một framework phát triển ứng dụng đa nền tảng mã nguồn mở hợp pháp của Trung Quốc.

Table Of Content

Quy mô và phương thức hoạt động

Các trang web này không chỉ đơn thuần là các trang giả mạo mà còn được thiết kế tinh vi để vận hành các sàn giao dịch tiền điện tử giả, nền tảng cờ bạc trực tuyến, các chiến dịch lừa đảo “mổ lợn” (pig-butchering) đa ngôn ngữ, và các công cụ wallet drainer (đánh cắp ví tiền điện tử). Hệ thống này đã hoạt động từ giữa năm 2022, nhắm vào nạn nhân trên toàn cầu với ít nhất 8 ngôn ngữ khác nhau.

Các nhà nghiên cứu nhận thấy sự phân hóa rõ rệt trong các nhóm lừa đảo:

  • Nhóm phổ thông (Vanilla tier): Sử dụng nguyên bản các mẫu DCloud, dễ bị nhận diện qua các dấu hiệu kỹ thuật (fingerprint) của framework.
  • Nhóm tinh vi (Evasive tier): Các đối tượng đã loại bỏ các thành phần mặc định của DCloud để tránh bị phát hiện, đồng thời thường xuyên sử dụng các dịch vụ bulletproof hosting (BPH) để chống lại các yêu cầu gỡ bỏ từ cơ quan chức năng.

Chiến thuật lừa đảo tinh vi

Điểm chung của các trang web này là sử dụng cơ chế “mã mời” (invitation code). Nạn nhân không thể đăng ký hoặc truy cập vào màn hình nạp tiền nếu không được giới thiệu bởi một thành viên khác trong mạng lưới. Điều này thúc đẩy mô hình lừa đảo theo dạng kim tự tháp, nơi nạn nhân bị ép buộc trở thành người đi chiêu dụ bạn bè và gia đình.

Ngoài ra, các trang web này còn giả mạo các thương hiệu lớn, từ các sàn giao dịch chứng khoán, nền tảng bán lẻ cho đến các ứng dụng nhắn tin như WhatsApp để thực hiện hành vi phishing nhằm thu thập thông tin đăng nhập.

Hạ tầng lưu trữ

Đáng chú ý, phần lớn các tên miền lừa đảo này vẫn được lưu trữ trên các nhà cung cấp dịch vụ đám mây uy tín như Cloudflare, Alibaba Cloud, Tencent Cloud và Amazon Web Services. Chỉ khoảng 6% các trang web này sử dụng các dịch vụ BPH chuyên dụng như CTG Server Limited. Infoblox cảnh báo rằng những kẻ tấn công có kỹ năng cao thường có xu hướng tìm đến các hạ tầng khó bị đánh sập, trong khi những kẻ ít kinh nghiệm hơn thường chọn các nền tảng phổ biến để triển khai nhanh chóng.

Sự việc này một lần nữa gióng lên hồi chuông cảnh báo về việc các công cụ phát triển hợp pháp đang bị tội phạm mạng lợi dụng để tạo ra các hệ sinh thái lừa đảo quy mô lớn, gây thiệt hại nghiêm trọng cho người dùng trên toàn thế giới.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept