Công ty an ninh mạng Kaspersky đã phát hiện ra một vụ lừa đảo độc đáo nhắm vào những tên trộm tiền điện tử. Kế hoạch này dụ những kẻ cơ hội bằng ví tiền điện tử có vẻ như đã nạp đầy tiền, chỉ để rút tiền của họ khi họ cố gắng truy cập vào mồi nhử. Chiêu trò sáng tạo này cho thấy sự tinh vi ngày càng tăng của tội phạm mạng trong không gian tài sản kỹ thuật số.
Theo Kaspersky, những kẻ lừa đảo hàng đầu đang đóng giả là người dùng tiền điện tử ngây thơ bằng cách chia sẻ công khai các cụm từ hạt giống, các khóa cần thiết để truy cập vào ví tiền điện tử, trong các bình luận trên YouTube. Những bình luận này, được đăng bởi các tài khoản mới tạo, thường bao gồm lời kêu gọi hỗ trợ chuyển tiền từ một ví được cho là nắm giữ tài sản đáng kể.
“Những kẻ lừa đảo đã phát minh ra một trò lừa mới…Họ đăng các cụm từ hạt giống ví cryptocurrency trong các bình luận trên YouTube bằng cách sử dụng các tài khoản mới được tạo,” nhà phân tích Kaspersky Mikhail Sytnik đã chi tiết trong một bài đăng blog gần đây.
Không có danh dự giữa những tên trộm – Cách mà lừa đảo khóa riêng hoạt động
Một ví được Kaspersky quan sát chứa khoảng 8.000 đô la Mỹ trong USDT trên mạng Tron. Để truy cập vào những khoản tiền này, một tên trộm sẽ cần phải gửi TRX, token gốc của blockchain, để trang trải phí mạng.
Giao dịch lừa đảo: Nguồn – Mạng Tron
Kế hoạch này chủ yếu nhắm đến những cá nhân muốn khai thác sai lầm được cho là “ngu ngốc” của người khác. Khi vào được ví mồi, những tên trộm kỹ thuật số này thấy nó đầy ắp USDT, một token TRC20 gắn liền với đồng đô la Mỹ.
Vì ví thiếu TRX đủ để rút tiền, họ được yêu cầu gửi tiền từ các ví của chính họ. Hành động này kích hoạt “bơm siphon,” chuyển hướng TRX đến địa chỉ của kẻ lừa đảo.
Giao dịch lừa đảo: Nguồn – Mạng Tron
Những kẻ lừa đảo đã gian lận hệ thống, và ngay khi TRX được gửi, nó ngay lập tức được chuyển hướng đến một ví riêng biệt do những kẻ tấn công kiểm soát, để lại tên trộm tay trắng.
Phân tích của Kaspersky so sánh những kẻ lừa đảo với những Robin Hood kỹ thuật số, nhắm vào các hành vi không đạo đức trong không gian crypto. Tuy nhiên, những nạn nhân cuối cùng vẫn là những người để lòng tham vượt qua sự cẩn trọng của họ.
Công ty bảo mật đang kêu gọi người dùng crypto cẩn thận với việc sử dụng lặp lại các cụm từ hạt giống giống hệt nhau trong nhiều bình luận. Điều này có thể là một hoạt động được lên kế hoạch và phối hợp tốt nhằm đánh cắp tài sản của họ.
Các chiến dịch lừa đảo nhắm vào người dùng crypto
Những phát hiện của Kaspersky mở rộng ra ngoài các lừa đảo cụm từ hạt giống. Vào tháng 8, Đội Phản ứng Khẩn cấp Toàn cầu của công ty (GERT) đã xác định một chiến dịch lừa đảo lớn hơn nhằm vào người dùng Windows và macOS trên toàn thế giới.
Hoạt động này sử dụng các trang web giả mạo tinh vi để bắt chước các dịch vụ hợp pháp, chẳng hạn như các nền tảng crypto, trò chơi nhập vai trực tuyến và các công cụ AI. Những bản sao tinh vi này được thiết kế để lừa nạn nhân chia sẻ thông tin nhạy cảm hoặc tải xuống phần mềm độc hại.
“Mối tương quan giữa các phần khác nhau của chiến dịch này và cơ sở hạ tầng chung của chúng cho thấy một hoạt động được tổ chức tốt, có thể liên quan đến một cá nhân hoặc nhóm duy nhất với động cơ tài chính cụ thể,” Ayman Shaaban, Trưởng bộ phận Phản ứng Sự cố tại Kaspersky’s GERT, cho biết.
Được gọi là “Tusk,” cuộc điều tra của Kaspersky tiết lộ rằng chiến dịch này bao gồm nhiều tiểu hoạt động khác nhau nhắm vào các chủ đề liên quan đến crypto, trò chơi và AI. Cơ sở hạ tầng độc hại cũng mở rộng đến 16 chủ đề khác, hoặc các tiểu chiến dịch đã nghỉ hưu hoặc những cái mới chưa được ra mắt.
Các chuỗi mã độc hại được phát hiện trong quá trình điều tra cho thấy sự giao tiếp giữa các máy chủ của những kẻ tấn công bằng tiếng Nga, với các tham chiếu đến thuật ngữ “Mammoth” (“Мамонт”), từ lóng cho “nạn nhân” trong số những kẻ đe dọa nói tiếng Nga. Gợi ý ngôn ngữ này đã góp phần vào tên của chiến dịch.
Chiến dịch Tusk sử dụng phần mềm độc hại đánh cắp thông tin như Danabot và Stealc, cũng như các clipper theo dõi clipboard, một số trong đó là các biến thể mã nguồn mở được viết bằng Go. Những kẻ đánh cắp thông tin lấy cắp thông tin đăng nhập, chi tiết ví và các thông tin nhạy cảm khác, trong khi các clipper chặn địa chỉ ví cryptocurrency được sao chép vào clipboard, thay thế chúng bằng các địa chỉ độc hại do các kẻ tấn công kiểm soát.
Từ Zero đến Web3 Pro: Kế hoạch Khởi động Nghề nghiệp 90 Ngày của Bạn
