Cảnh báo: Chiến dịch ‘Silent Swap’ dùng tiện ích giả mạo để đánh cắp tiền điện tử
Các nhà nghiên cứu bảo mật vừa phát hiện chiến dịch 'Silent Swap', sử dụng tiện ích trình duyệt giả danh Google Notes để đánh tráo địa chỉ ví điện tử của người dùng thông qua...
Các chuyên gia bảo mật tại McAfee Labs vừa phát hiện một chiến dịch tấn công tinh vi mang tên Silent Swap, nhắm mục tiêu vào người dùng tiền điện tử thông qua các tiện ích trình duyệt độc hại. Kẻ tấn công sử dụng các trình cài đặt không chữ ký số (unsigned installers) viết bằng .NET hoặc Golang để phát tán một tiện ích Chromium giả danh công cụ ‘Google Notes’.
Table Of Content
Cơ chế hoạt động của Silent Swap
Sau khi xâm nhập vào hệ thống, mã độc sẽ quét các trình duyệt dựa trên Chromium (như Chrome, Edge, Brave, Vivaldi), tự động đóng trình duyệt và can thiệp vào các tệp cấu hình Secure Preferences để ép buộc cài đặt tiện ích độc hại mà không cần thông qua cửa hàng ứng dụng. Để duy trì sự hiện diện, mã độc còn tự động tính toán lại các giá trị hash/HMAC, khiến trình duyệt hiểu lầm rằng tiện ích này đã được cài đặt hợp lệ.
Khi đã hoạt động, tiện ích này đóng vai trò là một crypto clipper. Nó theo dõi clipboard của người dùng, chờ đợi các chuỗi ký tự giống địa chỉ ví tiền điện tử (BTC, ETH, SOL, v.v.) và thay thế chúng bằng địa chỉ ví của kẻ tấn công ngay trước khi giao dịch được thực hiện. Do tính chất không thể đảo ngược của blockchain, người dùng sẽ mất tiền vĩnh viễn.
Kỹ thuật né tránh và C2 linh hoạt
Điểm đáng chú ý của Silent Swap là việc sử dụng kỹ thuật EtherHiding. Thay vì sử dụng các tên miền C2 (Command-and-Control) cố định dễ bị phát hiện, kẻ tấn công lưu trữ thông tin máy chủ trên blockchain thông qua các hợp đồng thông minh. Điều này cho phép chúng thay đổi địa chỉ máy chủ điều khiển chỉ bằng một giao dịch đơn giản mà không cần cập nhật mã độc.
Ngoài ra, mã độc còn có khả năng tự xóa dấu vết sau khi cài đặt và sử dụng cơ chế ánh xạ địa chỉ ví phía server (server-side mapping), đảm bảo mỗi nạn nhân sẽ nhận được một địa chỉ ví thay thế riêng biệt, gây khó khăn cho việc truy vết.
Mối đe dọa từ các tiện ích VPN giả mạo
Cùng thời điểm, các nhà nghiên cứu tại Socket cũng cảnh báo về hai tiện ích trình duyệt mang tên “VPN Go: Free VPN” trên Chrome Web Store và Firefox Add-ons. Các tiện ích này sử dụng chiến thuật “cập nhật độc hại” (staged malicious update): ban đầu phát hành phiên bản sạch để lấy lòng tin, sau đó tung bản cập nhật chứa mã độc đánh cắp dữ liệu clipboard.
Không chỉ dừng lại ở địa chỉ ví, các tiện ích này còn có khả năng thu thập mật khẩu, mã xác thực, API keys và các cụm từ khôi phục ví (seed phrases). Người dùng được khuyến cáo kiểm tra và gỡ bỏ ngay lập tức các tiện ích không rõ nguồn gốc, đồng thời coi các thông tin nhạy cảm đã nhập trong thời gian sử dụng là đã bị xâm phạm.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.