Vừa mới phát hiện một điều khá đáng lo ngại trong lĩnh vực an ninh mạng. Nhóm tình báo mối đe dọa của Google đã cảnh báo về một phần mềm độc hại mới trên iOS gọi là Ghostblade, được thiết kế đặc biệt để đánh cắp khoá riêng crypto và dữ liệu nhạy cảm của người dùng. Điều làm cho nó đặc biệt nguy hiểm là cách hoạt động của nó—được xây dựng bằng JavaScript và thiết kế để hoạt động nhanh chóng, lặng lẽ, lấy những gì cần rồi biến mất trước khi bạn kịp nhận ra sự tồn tại của nó.

Ghostblade là một phần của gia đình bộ công cụ DarkSword lớn hơn nhắm vào người dùng crypto. Phần mềm độc hại này không lưu lại trên thiết bị của bạn như các nhiễm trùng truyền thống. Thay vào đó, nó kích hoạt trong chốc lát, trích xuất dữ liệu như khoá riêng từ thiết bị của bạn, truyền tất cả về các máy chủ độc hại, rồi tắt hoàn toàn. Thiết kế này khiến nó cực kỳ khó phát hiện vì không cần plugin bổ sung và để lại ít dấu vết. Thậm chí còn tinh vi hơn—nó còn chủ động xóa các báo cáo lỗi thường cảnh báo hệ thống telemetry của Apple, cơ bản là che giấu dấu vết của mình.

Ngoài việc lấy khoá riêng của bạn, phần mềm này còn có thể truy cập dữ liệu tin nhắn từ iMessage, Telegram, và WhatsApp. Nó cũng thu thập thông tin về SIM, dữ liệu nhận dạng, tệp đa phương tiện, dữ liệu định vị, và các cài đặt hệ thống khác. Nói cách khác, đây là một hoạt động trộm cắp dữ liệu khá toàn diện.

Điều thú vị từ góc độ cảnh báo mối đe dọa là mô hình rộng hơn đang nổi lên. Theo dữ liệu của Nominis, thiệt hại do hack crypto đã giảm mạnh xuống còn 49 triệu đô la trong tháng Hai so với 385 triệu đô la trong tháng Một. Nghe có vẻ là tin tốt, nhưng thực ra phản ánh sự thay đổi trong cách các tội phạm hoạt động. Họ đang chuyển từ các khai thác dựa trên mã nguồn sang các chiến thuật xã hội—lừa đảo qua email, làm nhiễu ví, và các tấn công dựa trên yếu tố con người khác nhằm lừa người dùng tiết lộ khoá và thông tin đăng nhập của chính họ.

Trong cộng đồng an ninh, tin tức là các tội phạm ngày càng trở nên tinh vi hơn trong việc nhắm vào hành vi con người thay vì chỉ khai thác lỗ hổng phần mềm. Các chiến dịch lừa đảo ngày càng giả mạo phức tạp hơn, với các trang web giả mạo trông giống hệt các nền tảng hợp pháp, kèm theo URL bắt chước thật. Người dùng dễ bị lừa nhập khoá riêng hoặc cụm seed phrase, rồi lập tức các tội phạm có thể truy cập trực tiếp vào tài khoản.

Vậy điều này có ý nghĩa gì đối với những người đang nắm giữ crypto? Vệ sinh thiết bị vẫn là yếu tố then chốt. Cập nhật iOS thường xuyên, sử dụng ví phần cứng để lưu trữ khoá riêng khi có thể, và cực kỳ cẩn trọng với các ứng dụng nhắn tin và tương tác web. Xác thực đa yếu tố và bảo vệ sinh trắc học giúp ích, nhưng thành thật mà nói, phòng thủ lớn nhất là sự hoài nghi. Đừng tin vào các yêu cầu bất ngờ đòi cung cấp thông tin nhạy cảm.

Đối với các nhà phát triển và nhà xây dựng nền tảng, bài học rõ ràng là bạn cần có các biện pháp chống lừa đảo mạnh mẽ, hệ thống quản lý khoá an toàn, và cảnh báo minh bạch khi người dùng sắp thực hiện hành động rủi ro. Không gian crypto cần có sự hợp tác liên ngành tốt hơn trong việc chia sẻ thông tin về mối đe dọa, đặc biệt là các cuộc tấn công trên thiết bị kết hợp các công cụ trình duyệt với các tính năng của hệ điều hành di động.

Việc theo dõi cách hệ sinh thái DarkSword này phát triển và những báo cáo tiếp theo của Google Threat Intelligence sẽ rất quan trọng đối với tất cả mọi người trong lĩnh vực. Môi trường đe dọa chắc chắn đang thay đổi, và việc cập nhật thông tin là một nửa của cuộc chiến.