Google Threat Intel Cảnh báo Ghostblade Là Phần mềm độc hại Trộm tiền điện tử

(MENAFN- Crypto Breaking) Google Threat Intelligence đã phát hiện một phần mềm độc hại mới chuyên trộm tiền điện tử có tên “Ghostblade” nhắm vào các thiết bị Apple iOS. Được mô tả là một phần của họ nhà DarkSword gồm các công cụ dựa trên trình duyệt, Ghostblade được thiết kế để rút trộm khoá riêng và các dữ liệu nhạy cảm khác trong một đợt nhanh chóng, kín đáo thay vì duy trì hoạt động liên tục trên thiết bị.

Viết bằng JavaScript, Ghostblade kích hoạt, thu thập dữ liệu từ thiết bị bị xâm nhập và gửi về các máy chủ độc hại trước khi tắt đi. Các nhà nghiên cứu nhận xét rằng thiết kế của phần mềm độc hại này khiến việc phát hiện trở nên khó khăn hơn, vì nó không yêu cầu plugin bổ sung và dừng hoạt động ngay sau khi hoàn tất việc trích xuất dữ liệu. Nhóm Threat Intelligence của Google nhấn mạnh rằng Ghostblade còn thực hiện các bước để tránh bị phát hiện bằng cách xóa các báo cáo lỗi (crash reports) mà nếu không sẽ cảnh báo hệ thống telemetry của Apple.

Ngoài khoá riêng, phần mềm độc hại này còn có khả năng truy cập và truyền dữ liệu tin nhắn từ iMessage, Telegram và WhatsApp. Nó cũng có thể thu thập thông tin về SIM, danh tính người dùng, các tệp đa phương tiện, dữ liệu định vị, và truy cập vào các cài đặt hệ thống khác. Khung công cụ DarkSword rộng hơn, trong đó Ghostblade thuộc về, được Google coi là một phần của các mối đe dọa đang phát triển, cho thấy cách các hacker liên tục tinh chỉnh bộ công cụ của họ để nhắm vào người dùng tiền điện tử.

Đối với những người theo dõi xu hướng đe dọa, Ghostblade nằm cùng với các thành phần khác của chuỗi khai thác iOS DarkSword do Google Threat Intelligence mô tả. Bộ công cụ này nằm trong bối cảnh rộng hơn của sự tiến hóa các mối đe dọa tiền điện tử, bao gồm các báo cáo về các bộ khai thác dựa trên iOS được sử dụng trong các chiến dịch lừa đảo qua crypto.

Các điểm chính cần lưu ý

• Ghostblade là một mối đe dọa trộm tiền điện tử dựa trên JavaScript trên iOS, thuộc hệ sinh thái DarkSword và được thiết kế để trích xuất dữ liệu nhanh chóng.
• Phần mềm hoạt động trong thời gian ngắn và không liên tục, giảm khả năng tồn tại lâu dài trên thiết bị và làm phức tạp việc phát hiện.
• Có thể truyền dữ liệu nhạy cảm từ iMessage, Telegram, WhatsApp, và truy cập thông tin SIM, danh tính, đa phương tiện, định vị, cùng các cài đặt hệ thống, đồng thời xóa các báo cáo lỗi để tránh bị phát hiện.
• Phát triển này phù hợp với xu hướng rộng hơn trong lĩnh vực đe dọa, chuyển từ tấn công dựa trên mã nguồn sang các chiến thuật khai thác tâm lý và trích xuất dữ liệu dựa trên hành vi con người, không chỉ dựa vào lỗ hổng phần mềm.
• Tháng 2, thiệt hại do hacker crypto giảm mạnh xuống còn 49 triệu USD từ mức 385 triệu USD của tháng 1, cho thấy sự chuyển hướng từ các cuộc xâm nhập dựa trên mã sang các kỹ thuật lừa đảo qua phishing và làm nhiễu ví, theo Nominis.

Ghostblade và hệ sinh thái DarkSword: những gì đã biết

Các nhà nghiên cứu của Google mô tả Ghostblade như một thành phần của hệ DarkSword — một bộ các công cụ phần mềm độc hại dựa trên trình duyệt nhằm tấn công người dùng tiền điện tử bằng cách trộm khoá riêng và dữ liệu liên quan. Trọng tâm của Ghostblade là JavaScript, cho phép tương tác nhanh chóng với thiết bị trong khi vẫn nhẹ và tạm thời. Lựa chọn thiết kế này phù hợp với các mối đe dọa gần đây khác nhắm vào thiết bị, ưu tiên chu kỳ trích xuất dữ liệu nhanh hơn là nhiễm trùng kéo dài.

Trong thực tế, khả năng của phần mềm độc hại này không chỉ dừng lại ở việc trộm khoá. Bằng cách truy cập các ứng dụng nhắn tin như iMessage, Telegram, và WhatsApp, kẻ tấn công có thể chặn các cuộc trò chuyện, lấy cắp thông tin đăng nhập và các tệp đính kèm nhạy cảm. Việc truy cập thông tin SIM và định vị mở rộng phạm vi tấn công, tạo điều kiện cho các vụ trộm danh tính và lừa đảo toàn diện hơn. Đặc biệt, khả năng xóa các báo cáo lỗi còn giúp che giấu hoạt động, làm phức tạp công tác điều tra sau khi bị nhiễm.

Trong bối cảnh rộng hơn của hệ DarkSword, Ghostblade nhấn mạnh cuộc chạy đua vũ trang trong lĩnh vực tình báo đe dọa trên thiết bị. Google Threat Intelligence xem DarkSword như một trong những ví dụ mới nhất về cách các tác nhân độc hại liên tục tinh chỉnh chuỗi tấn công nhắm vào iOS, khai thác niềm tin vững chắc của người dùng vào thiết bị và các ứng dụng họ sử dụng hàng ngày cho giao tiếp và tài chính.

Từ tấn công dựa trên mã nguồn đến khai thác yếu tố con người

Bối cảnh tấn công crypto tháng 2 năm 2026 cho thấy một sự chuyển dịch rõ rệt trong hành vi của hacker. Theo Nominis, tổng thiệt hại từ các vụ hack crypto tháng 2 giảm còn 49 triệu USD, so với 385 triệu USD của tháng 1. Công ty này cho rằng sự sụt giảm này do sự chuyển hướng từ các mối đe dọa dựa hoàn toàn vào mã nguồn sang các phương thức khai thác lỗi con người, như phishing, tấn công làm nhiễu ví, và các hình thức lừa đảo xã hội khác khiến người dùng vô tình tiết lộ khoá hoặc thông tin đăng nhập.

Phishing vẫn là chiến thuật trung tâm. Kẻ tấn công tạo ra các trang web giả mạo giống hệt các nền tảng hợp pháp, thường có URL bắt chước để dụ người dùng nhập khoá riêng, cụm seed hoặc mật khẩu ví. Khi người dùng tương tác với các giao diện giả mạo này — đăng nhập, phê duyệt giao dịch hoặc dán dữ liệu nhạy cảm — kẻ tấn công có thể truy cập trực tiếp vào quỹ và thông tin đăng nhập. Sự chuyển hướng này sang khai thác dựa trên yếu tố con người đặt ra yêu cầu các sàn giao dịch, ví và người dùng phải nâng cao cảnh giác, kết hợp giáo dục người dùng với các biện pháp kỹ thuật bảo vệ.

Dữ liệu tháng 2 phù hợp với câu chuyện chung của ngành: trong khi các lỗ hổng dựa trên mã và các lỗ zero-day vẫn tiếp tục phát triển, phần lớn rủi ro đối với tài sản crypto ngày nay đến từ các khai thác xã hội, lợi dụng các hành vi con người đã được thiết lập vững chắc như niềm tin, khẩn cấp và thói quen sử dụng các giao diện quen thuộc. Các chuyên gia nhận định rằng, không chỉ cần vá các lỗ hổng phần mềm mà còn phải củng cố yếu tố con người trong an ninh bằng giáo dục, xác thực mạnh mẽ hơn và trải nghiệm onboarding an toàn hơn cho người dùng ví.

Ảnh hưởng đối với người dùng, ví và nhà phát triển

Sự xuất hiện của Ghostblade — cùng với xu hướng tấn công dựa trên yếu tố con người — nhấn mạnh một số điểm thực tế cho người dùng và nhà phát triển. Thứ nhất, vệ sinh thiết bị vẫn là yếu tố then chốt. Cập nhật iOS thường xuyên, áp dụng các biện pháp bảo vệ trình duyệt và ứng dụng, sử dụng ví phần cứng hoặc các vùng an toàn để lưu trữ khoá riêng có thể nâng cao khả năng phòng thủ trước các cuộc tấn công trích xuất dữ liệu nhanh.

Thứ hai, người dùng cần cẩn trọng hơn khi tương tác với các ứng dụng nhắn tin và các giao diện web. Sự kết hợp giữa truy cập dữ liệu trên thiết bị và các mưu đồ lừa đảo kiểu phishing có thể biến các hành động tưởng chừng vô hại — mở liên kết, phê duyệt quyền, dán seed phrase — thành cánh cửa dẫn đến mất mát tài sản. Các biện pháp xác thực đa yếu tố, ứng dụng xác thực và bảo vệ sinh trắc học có thể giúp giảm thiểu rủi ro, nhưng giáo dục và thái độ hoài nghi với các yêu cầu không rõ nguồn gốc cũng rất quan trọng.

Đối với các nhà phát triển, trường hợp Ghostblade nhấn mạnh tầm quan trọng của các biện pháp chống phishing, quy trình quản lý khoá an toàn và cảnh báo rõ ràng cho người dùng về các thao tác nhạy cảm. Nó cũng nhấn mạnh giá trị của việc chia sẻ liên tục thông tin về các mối đe dọa — đặc biệt là các mối đe dọa trên thiết bị kết hợp các công cụ dựa trên trình duyệt với các tính năng của hệ điều hành di động. Hợp tác liên ngành vẫn là yếu tố then chốt để phát hiện các chuỗi khai thác mới trước khi chúng trở nên phổ biến.

Những điều cần theo dõi tiếp theo

Khi Google Threat Intelligence và các nhà nghiên cứu khác tiếp tục theo dõi hoạt động liên quan đến DarkSword, các nhà quan sát nên chú ý đến các cập nhật về chuỗi khai thác iOS và sự xuất hiện của các phần mềm độc hại tương tự có khả năng ẩn nấp, hoạt động trong thời gian ngắn. Sự chuyển hướng tháng 2 về các lỗ hổng yếu tố con người cho thấy tương lai trong đó các nhà phòng thủ cần tăng cường cả các biện pháp kỹ thuật lẫn giáo dục người dùng để giảm thiểu rủi ro từ các chiến thuật lừa đảo qua phishing và làm nhiễu ví. Đối với độc giả, các mốc quan trọng tiếp theo bao gồm các cảnh báo tình báo mối đe dọa chính thức về các mối đe dọa crypto trên iOS, các phát hiện mới từ các nhà cung cấp an ninh, và cách các nền tảng lớn điều chỉnh các biện pháp chống phishing và phòng chống gian lận để đối phó với các chiến lược tấn công ngày càng tinh vi này.

Trong thời gian chờ đợi, việc theo dõi sát sao các nguồn thông tin về mối đe dọa — như các báo cáo của Google Threat Intelligence về DarkSword và các khai thác iOS liên quan, cùng các phân tích liên tục từ Nominis và các nhà nghiên cứu bảo mật blockchain khác — sẽ rất cần thiết để đánh giá rủi ro và hoàn thiện các biện pháp phòng thủ chống tội phạm mạng tập trung vào tiền điện tử.