Trò đùa-trojan mới ở Nga, rò rỉ dữ liệu từ Ủy ban Châu Âu và các sự kiện an ninh mạng khác - ForkLog: tiền điện tử, AI, siêu trí tuệ, tương lai

# Lừa đảo-trojan mới ở Nga, rò rỉ dữ liệu từ Ủy ban châu Âu và các sự kiện an ninh mạng khác

Chúng tôi đã tổng hợp những tin tức quan trọng nhất trong thế giới an ninh mạng trong tuần qua.

• Theo dõi, thay thế địa chỉ crypto và trêu ngươi: tại РФ đã phát hiện trojan prank.
• Các địa chỉ máy chủ của phần mềm dùng để đánh cắp tiền mã hoá được phát hiện trong Spotify và Chess.com.
• Nhà chức trách đã buộc tội hacker đánh cắp $53 triệu từ sàn crypto Uranium.
• Các chuyên gia phát hiện bản cập nhật của stealer seed phrase nhắm tới Apple và Android.

Theo dõi, thay thế địa chỉ crypto và trêu ngươi: tại РФ đã phát hiện trojan prank

Các chuyên gia của “Kaspersky Lab” đã phát hiện ở РФ một chiến dịch đang hoạt động nhằm phát tán trojan mới. CrystalX được quảng bá theo mô hình CaaS thông qua quảng cáo trên mạng xã hội Telegram và YouTube.

Phần mềm này hoạt động vừa như gián điệp vừa như stealer, cho phép thực hiện các hành động sau:

• đánh cắp thông tin đăng nhập của trình duyệt, cũng như các tài khoản trên Steam, Discord, Telegram;
• âm thầm thay thế địa chỉ ví tiền mã hoá trong bộ nhớ tạm (clipboard);
• ghi âm và quay video ẩn từ màn hình và webcam.

Điểm khác biệt của mã độc là các màn trêu chọc người dùng theo thời gian thực. Để làm điều đó, bảng điều khiển có một mục riêng Rofl kèm các lệnh tương ứng:

• tải một hình ảnh từ URL đã chỉ định và đặt nó làm nền màn hình nền (desktop);
• thay đổi hướng màn hình sang 90°, 180° hoặc 270°;
• tắt hệ điều hành bằng tiện ích shutdown.exe;
• thay thế các chức năng của nút chuột trái sang nút phải và ngược lại;
• tắt màn hình và khoá thao tác nhập liệu;
• làm con trỏ rung trong các khoảng thời gian ngắn;
• ẩn tất cả biểu tượng tệp trên màn hình nền, tắt thanh tác vụ, trình quản lý tác vụ và cmd.exe.

Ngoài ra, kẻ tấn công có thể gửi một tin nhắn tới nạn nhân, sau đó trong hệ thống sẽ mở một cửa sổ đối thoại để trao đổi hai chiều.

Nguồn: “Kaspersky Lab”. Như chuyên gia cấp cao Kaspersky GReAT Leonid Bezvershenko đã nhận định trong bình luận với “Mã của Durov”, virus đang được phát triển tích cực và được duy trì bởi những người tạo ra. Ông kỳ vọng số lượng nạn nhân sẽ tăng lên khi phạm vi tấn công mở rộng.

Các chuyên gia khuyên chỉ tải ứng dụng từ các cửa hàng chính thức, cài đặt một phần mềm diệt virus đáng tin cậy, đồng thời bật hiển thị phần mở rộng trên Windows để vô tình không chạy các tệp nguy hiểm thuộc định dạng .EXE, .VBS và .SCR.

Các địa chỉ máy chủ của phần mềm đánh cắp tiền mã hoá được phát hiện trong Spotify và Chess.com

Các nhà nghiên cứu Solar 4RAYS nhận thấy rằng tin tặc che giấu các địa chỉ máy chủ điều khiển của stealer MaskGram trong hồ sơ Spotify và Chess.com

MaskGram nhắm tới việc đánh cắp tài khoản và tiền mã hoá, đồng thời có khả năng tải thêm các mô-đun bổ sung.

Phần mềm độc hại thu thập dữ liệu về hệ thống, danh sách tiến trình và các ứng dụng đã cài đặt, đồng thời chụp ảnh màn hình. Nó trích xuất thông tin từ các trình duyệt Chromium, ví tiền mã hoá, ứng dụng email, messenger và ứng dụng VPN.

Kẻ tấn công phát tán phần mềm thông qua kỹ thuật lừa đảo xã hội: giả mạo các phiên bản bị bẻ khoá của phần mềm trả phí để kiểm tra hàng loạt tên đăng nhập và mật khẩu của các cơ sở dữ liệu bị rò rỉ như Netflix Hunter Combo Tool, Steam Combo Extractor và Deezer Checker.

Theo các chuyên gia, phần mềm sử dụng kỹ thuật “dead drop” hoặc Dead Drop Resolver (DDR), cho phép lưu thông tin về máy chủ điều khiển trên các trang của dịch vụ công khai và thay đổi nó nhanh chóng.

Máy bị nhiễm không truy cập vào IP đáng ngờ, mà kết nối tới Spotify hoặc Chess.com, hiển thị hoạt động người dùng thông thường.

Trường about trong hồ sơ người dùng Chess.com. Nguồn: Solar 4RAYS. Với mỗi nền tảng, sẽ sử dụng một bộ nhãn (markers) riêng. Ví dụ, với Chess.com — trường about trong hồ sơ người dùng. Chuỗi đã trích xuất trải qua quá trình giải mã (decode) và biến thành tên miền của máy chủ.

Tháng 3, các chuyên gia Aikido ghi nhận việc sử dụng kỹ thuật “dead drop” của stealer GlassWorm trong các giao dịch tiền mã hoá trên blockchain Solana.

Nhà chức trách đã buộc tội hacker đánh cắp $53 triệu từ sàn crypto Uranium

Cơ quan công tố của Mỹ đã buộc tội Jonathan Spallette vì hành vi trộm hơn $53 triệu từ sàn crypto Uranium Finance và rửa tiền.

Vào tháng 4 năm 2021, Spallette (cũng được biết đến với bí danh Cthulhon) đã hack sàn giao dịch phi tập trung (DEX) Uranium dựa trên BNB Chain. Kết quả là thiếu hụt tiền khiến công ty phải đóng cửa.

Vào tháng 2 năm 2025, trong một cuộc khám xét, lực lượng thực thi pháp luật đã tịch thu những tài sản có giá trị từ nhà của nghi phạm, đồng thời khôi phục quyền truy cập tới tiền mã hoá trị giá khoảng $31 triệu.

Theo thông tin từ phía cơ quan thực thi pháp luật, Spallette đã rửa các tài sản bị đánh cắp thông qua DEX và bộ trộn Tornado Cash. Số tiền thu được của ông ta được dùng để mua các vật phẩm sưu tầm:

• thẻ Magic: The Gathering “Black Lotus” — ~$500 000;
• 18 gói booster Alpha Edition Magic: The Gathering còn niêm phong — ~$1,5 triệu;
• trọn bộ cơ bản Pokémon phiên bản 1 (first edition base set) — ~$750 000;
• một đồng xu thời La Mã cổ được đúc để kỷ niệm việc ám sát Julius Caesar — hơn $601 000.

Spallette có thể đối mặt với đến 10 năm tù vì tội gian lận bằng máy tính và đến 20 năm nếu bị kết án về tội rửa tiền.

Các chuyên gia phát hiện bản cập nhật của stealer seed phrase nhắm tới Apple và Android

Các nhà nghiên cứu của “Kaspersky Lab” đã phát hiện một phiên bản mới của phần mềm độc hại SparkCat nhằm đánh cắp tiền mã hoá trên Apple App Store và Google Play Store. The Hacker News đưa tin về việc này.

Stealer giả mạo các ứng dụng vô hại như ứng dụng nhắn tin doanh nghiệp và dịch vụ giao đồ ăn. Chạy ở chế độ nền, nó quét thư viện ảnh của nạn nhân để tìm seed phrase của ví tiền mã hoá.

Các chuyên gia đã phân tích hai ứng dụng bị nhiễm trên App Store và một ứng dụng trên Google Play. Chúng nhắm chủ yếu tới người dùng tiền mã hoá ở châu Á:

• Phiên bản iOS. Quét các cụm từ ghi nhớ (mnemonic) của ví tiền mã hoá bằng tiếng Anh. Cách tiếp cận này khiến phiên bản iOS có khả năng nguy hiểm hơn ở quy mô toàn cầu, vì nó có thể ảnh hưởng đến người dùng dù họ ở ngoài khu vực của họ;
• Phiên bản Android. Trong bản cập nhật, có thêm nhiều lớp làm rối mã hơn so với trước. Phần mềm sử dụng ảo hoá mã và các ngôn ngữ lập trình đa nền tảng để vượt qua việc phân tích. Ngoài ra, nó tìm các từ khoá bằng tiếng Nhật, tiếng Hàn và tiếng Trung, điều này xác nhận sự tập trung vào khu vực châu Á.

Các chuyên gia cho rằng chiến dịch có sự tham gia của một nhà vận hành nói tiếng Trung hoặc tiếng Nga. Theo dữ liệu mới nhất, mối đe doạ đang phát triển tích cực và những người đứng sau có trình độ kỹ thuật cao.

Ủy ban châu Âu đã xác nhận vụ rò rỉ sau cuộc tấn công mạng ShinyHunters

Ủy ban châu Âu (EC) đã xác nhận thực tế rò rỉ dữ liệu sau cuộc tấn công mạng vào nền tảng web Europa.eu, trách nhiệm được nhận bởi những kẻ tống tiền từ ShinyHunters.

Trong tuyên bố của EC, họ cho biết sự cố không làm gián đoạn hoạt động của cổng thông tin và đã được khoanh vùng.

Mặc dù Ủy ban không cung cấp chi tiết, kẻ tấn công đã thông báo cho BleepingComputer rằng chúng đã đánh cắp hơn 350 GB thông tin, bao gồm nhiều cơ sở dữ liệu. Chúng không tiết lộ cách hack tài khoản AWS, nhưng cung cấp ảnh chụp màn hình chứng minh quyền truy cập vào tài khoản của một số nhân viên EC.

Nhóm này cũng đăng một bài viết trên trang web rò rỉ của mình trên darknet, khẳng định rằng hơn 90 GB tệp đã bị đánh cắp:

• bản sao dữ liệu (dump) của máy chủ thư;
• cơ sở dữ liệu;
• tài liệu và hợp đồng mật;
• các tài liệu nhạy cảm khác.

Nguồn: BleepingComputer Cũng trên ForkLog:

• Dự án Solana Drift Protocol đã mất $280 triệu.
• Tại CertiK cảnh báo về rủi ro đánh cắp tiền mã hoá qua OpenClaw.

Nên đọc gì vào cuối tuần?

Sau khi xem xét dữ liệu từ các nhóm nghiên cứu, các báo cáo của các tập đoàn và tình hình hiện tại, ForkLog đã làm rõ cách các công nghệ giao diện “não — máy tính” đang phát triển.