kaspersky

Tin tặc đang ép buộc các YouTuber cài mã độc đào crypto (crypto-mining malware) vào video của họ, theo nghiên cứu từ Kaspersky – một công ty bảo mật nổi tiếng. Chiến thuật “tống tiền” này tận dụng lòng tin của khán giả và sự phổ biến của các công cụ vượt giới hạn địa lý, gây ra mối đe dọa mới cho người dùng và thị trường crypto. Điều gì đang xảy ra, và nó tác động thế nào đến ngành tiền điện tử?

Chiến Thuật Tống Tiền Tinh Vi

#Kaspersky phát hiện tin tặc nhắm vào các YouTuber tại Nga, nơi driver Windows Packet Divert – giúp vượt qua hạn chế địa lý – đang bùng nổ. Trong 6 tháng qua, 2,4 triệu thiết bị đã cài driver này, với lượng tải tăng đều từ tháng 9/2024. Các video hướng dẫn cài đặt driver trên YouTube trở thành “con mồi” lý tưởng. Tin tặc giả danh nhà phát triển driver, gửi khiếu nại bản quyền giả (copyright strike) đến YouTuber, đe dọa xóa video nếu không thêm link tải SilentCryptoMiner – một mã độc đào crypto – vào phần mô tả.

Một #Youtuber với 60.000 subscriber đã bị lừa, thêm link độc vào video có hơn 400.000 lượt xem, dẫn đến 40.000 lượt tải file nhiễm độc thay vì kho lưu trữ hợp pháp như GitHub. Kaspersky ước tính ít nhất 2.000 máy tính ở Nga đã nhiễm mã độc này, nhưng con số thực tế có thể cao hơn nếu tính cả các chiến dịch trên Telegram.

SilentCryptoMiner: Vũ Khí Đào Crypto Ẩn Mật

SilentCryptoMiner, dựa trên mã nguồn mở XMRig, đào các token như Ethereum ($ETH ), Ethereum Classic ($ETC ), Monero (XMR) và Ravencoin ($RVN ). Nó xâm nhập hệ thống qua kỹ thuật “process hollowing” (giả lập tiến trình hợp pháp) và được điều khiển từ xa, ngừng đào khi phần mềm chính thức hoạt động để tránh bị phát hiện. Leonid Bezvershenko, nhà nghiên cứu tại Kaspersky, cho Decrypt: “Chiến thuật ép buộc influencer cho thấy tội phạm mạng đang tiến hóa, lợi dụng lòng tin giữa YouTuber và khán giả để tạo cơ hội lây nhiễm quy mô lớn.”

Tác Động Đến Thị Trường Crypto

Ngắn hạn: Dù không ảnh hưởng trực tiếp đến giá coin (BTC hiện 76.600 USD, ETH 1.760 USD ngày 11/03), mã độc đào crypto làm tăng nguồn cung bất hợp pháp của ETH, XMR… trên thị trường đen, có thể gây áp lực giảm giá nhẹ nếu bị bán tháo. Người dùng Binance nên cảnh giác với biến động nhỏ trên các cặp như ETH/USDT hoặc XMR/USDT, đặc biệt khi Chỉ số Sợ hãi ở mức 24 cho thấy tâm lý bất ổn.

Dài hạn: Sự gia tăng mã độc đào coin (CoinMiner là malware phổ biến thứ hai năm 2024, theo Trung tâm An ninh Internet) làm xấu hình ảnh crypto, khiến nhà đầu tư e ngại về an ninh. Điều này có thể cản trở việc chấp nhận rộng rãi, nhất là khi stablecoin và thanh toán crypto đang bùng nổ (Mesh vừa huy động 82 triệu USD). Nếu không kiểm soát, các chiến dịch như vậy còn đe dọa danh tiếng của blockchain – công nghệ cốt lõi của tiền điện tử.

Chiến Lược Tội Phạm: Từ YouTube Đến Mọi Nơi

Bezvershenko nhấn mạnh: “Hầu hết nạn nhân hiện tại ở Nga, nhưng tin tặc sẽ tấn công bất cứ nơi nào có cơ hội.” Năm 2024, ReversingLabs phát hiện mã độc đào crypto trong các gói mã nguồn mở phổ biến, thu hút hàng trăm nghìn lượt tải mỗi tuần. Sự kết hợp giữa tống tiền YouTuber và lây nhiễm phần mềm cho thấy tội phạm mạng ngày càng sáng tạo, tận dụng cả mạng xã hội lẫn công cụ lập trình.

Lời Khuyên Từ Kaspersky

Kaspersky khuyến cáo người dùng kiểm tra nguồn tải xuống, đặc biệt khi video yêu cầu tắt antivirus hoặc cam kết file “hoàn toàn an toàn.” Bezvershenko nói: “Hãy luôn nghi ngờ và kiểm tra bảo mật bổ sung.” Với trader trên Binance, tránh tải phần mềm từ nguồn không rõ ràng là cách bảo vệ ví và tài sản crypto.

Kết Luận: Mối Nguy Ẩn Sau Màn Hình

Việc tin tặc tống tiền YouTuber để phát tán SilentCryptoMiner là hồi chuông cảnh báo về an ninh trong ngành crypto. Dù quy mô hiện tại chưa đủ lớn để rung chuyển thị trường (BTC vẫn quanh 76.600 USD), nó đặt ra thách thức dài hạn về niềm tin và sự an toàn. Người dùng Binance cần nâng cao cảnh giác, vì tội phạm mạng không chỉ đào coin mà còn đào cả lỗ hổng trong lòng tin của chúng ta.


Cảnh báo rủi ro: Đầu tư crypto rủi ro cao do biến động giá và rủi ro bảo mật. Chỉ đầu tư số tiền bạn sẵn sàng mất.
#anhbacong

Các nhà nghiên cứu bảo mật từ Kaspersky vừa phát hiện một chiến dịch phát tán mã độc nguy hiểm có tên GitVenom, nhắm vào các nhà phát triển phần mềm bằng cách tạo ra các kho lưu trữ (repository) giả mạo trên GitHub. Nếu tải xuống, loại mã độc này có thể lợi dụng nạn nhân để đánh cắp tiền điện tử.
GitVenom: Mối Đe Dọa Ẩn Mình Trong Các Repository Giả Mạo
🔹 #Github là một nền tảng chia sẻ mã nguồn mở, nơi các nhà phát triển trên toàn thế giới có thể sử dụng và tái sử dụng mã nguồn một cách dễ dàng.
🔹 Tuy nhiên, đây cũng trở thành mục tiêu của tội phạm mạng, khi các hacker đang lợi dụng nền tảng này để phát tán mã độc thông qua các dự án giả mạo.
🔹 Theo báo cáo của Kaspersky, nhóm tấn công đã bỏ ra rất nhiều công sức để làm cho các repository trông hợp pháp, nhằm đánh lừa nạn nhân.
Một trường hợp cụ thể mà Kaspersky phát hiện là một dự án bot Telegram dùng để quản lý ví Bitcoin. Nhưng thực tế, nó chứa mã độc đánh cắp lịch sử duyệt web và dữ liệu ví tiền điện tử của nhà phát triển.

Cách Mã Độc GitVenom Hoạt Động Để Đánh Cắp Crypto
🔸 Clipboard Hijacking (Chiếm quyền clipboard): Mã độc quét máy tính của nạn nhân để tìm các địa chỉ ví tiền điện tử. Khi phát hiện nạn nhân sao chép một địa chỉ ví, nó sẽ tự động thay thế bằng địa chỉ ví của kẻ tấn công.
🔸 Thu thập thông tin cá nhân: Mã độc thu thập mật khẩu, lịch sử duyệt web, thông tin ngân hàng, sau đó nén lại và gửi đến hacker qua Telegram.
🔸 Rút tiền về ví hacker: Theo thống kê của #Kaspersky , một ví tiền có liên quan đến GitVenom đã nhận được 5 BTC (~443.000 USD vào thời điểm đó).
Mối Nguy Hiểm Của GitVenom Trên Toàn Cầu
Các nhà nghiên cứu bảo mật cảnh báo rằng GitVenom đã lây lan ra nhiều quốc gia, với đa số nạn nhân nằm ở Nga, Brazil và Thổ Nhĩ Kỳ.
🚨 Đây không phải là lần đầu tiên các nhà phát triển bị tấn công.
🔹 Tuần trước, Microsoft Intelligence cũng phát hiện một biến thể mới của XCSSET, loại mã độc có thể đánh cắp tiền điện tử từ các thiết bị chạy macOS.
🔹 Mã độc này lây lan thông qua các dự án Xcode bị nhiễm độc, ảnh hưởng đến các nhà phát triển iOS/macOS.

Cách Phòng Tránh GitVenom Và Các Mối Nguy Hiểm Tương Tự
📌 Kiểm tra kỹ mã nguồn trước khi sử dụng:
✅ Không tải xuống và chạy mã từ các repository không rõ nguồn gốc trên GitHub.
✅ Luôn kiểm tra danh tính của người tạo và mức độ uy tín của dự án.
📌 Bảo vệ tài sản tiền điện tử:
✅ Luôn xác minh địa chỉ ví trước khi gửi tiền.
✅ Sử dụng ví phần cứng hoặc các biện pháp bảo mật hai lớp để bảo vệ tài sản.
📌 Sử dụng phần mềm bảo mật:
✅ Cài đặt phần mềm chống mã độc đáng tin cậy.
✅ Thường xuyên cập nhật hệ điều hành và phần mềm bảo mật để ngăn chặn các mối đe dọa mới.

Kết Luận
GitVenom là một trong những chiến dịch phát tán mã độc nguy hiểm nhất nhắm vào các nhà phát triển phần mềm, với mục tiêu đánh cắp tiền điện tử và thông tin cá nhân. Với sự phát triển nhanh chóng của tiền điện tử và nền tảng mã nguồn mở, việc bảo vệ thông tin và tài sản kỹ thuật số càng trở nên quan trọng hơn bao giờ hết.
💡 Hãy luôn cảnh giác khi sử dụng mã nguồn mở và bảo vệ tài sản của bạn trước các mối đe dọa từ hacker! #anhbacong

Ngày 09/04/2025, Kaspersky – công ty an ninh mạng hàng đầu – đã phát hiện một phần mềm độc hại nguy hiểm trên SourceForge, nền tảng tải phần mềm hợp pháp, đang âm thầm đánh cắp tiền mã hóa của người dùng bằng cách thay thế địa chỉ ví crypto trên clipboard. Với 4.604 người dùng tại Russia bị ảnh hưởng từ tháng 01 đến tháng 03/2025, liệu mối đe dọa này có lan rộng ra toàn cầu? Hãy cùng tìm hiểu chi tiết.

ClipBanker: Phần Mềm Độc Hại “Thay Địa Chỉ Ví” Tinh Vi

Theo báo cáo từ #Kaspersky trên blog SecureList, phần mềm độc hại này được ngụy trang dưới dạng tiện ích mở rộng (add-ins) của Microsoft Office trên SourceForge – một trang web uy tín chuyên cung cấp phần mềm mã nguồn mở. Khi người dùng tải xuống và cài đặt, phần mềm độc hại sẽ cài ClipBanker lên thiết bị. ClipBanker hoạt động bằng cách theo dõi clipboard (bộ nhớ tạm) của người dùng, thay thế địa chỉ ví tiền mã hóa mà người dùng sao chép bằng địa chỉ ví của kẻ tấn công.

Hầu hết người dùng ví crypto thường sao chép và dán địa chỉ ví thay vì nhập thủ công, điều này khiến việc thay thế địa chỉ diễn ra mà không bị phát hiện. Kết quả là tiền của nạn nhân sẽ được gửi đến ví của kẻ tấn công mà họ không hề hay biết. Kaspersky cảnh báo: “Người dùng thường không nhận ra sự thay đổi cho đến khi tiền đã bị gửi đi nơi khác không như ý định ban đầu.”

Cách Thức Lây Nhiễm: Giả Mạo Tinh Vi Trên SourceForge

Mặc dù #SourceForge là một nền tảng hợp pháp, kẻ tấn công đã lợi dụng uy tín của trang web này để phân phối phần mềm độc hại. Cụ thể, chúng tạo ra một liên kết tải xuống trông có vẻ hợp lệ, nhưng thực tế lại chuyển hướng người dùng đến một trang khác chứa phần mềm độc hại. Trình cài đặt (installer) giả mạo này có kích thước 700MB, nhưng phần lớn là dữ liệu rác (junk files) để đánh lừa người dùng. Phần mềm độc hại thực sự chỉ chiếm 7MB.

Báo cáo của Kaspersky cho biết mã nguồn của phần mềm độc hại được viết bằng tiếng Russia, với 90% nạn nhân tiềm năng là người dùng tại Russia – tổng cộng 4.604 người đã bị ảnh hưởng từ đầu tháng 01 đến cuối tháng 03/2025. Tuy nhiên, trang tải xuống lại được viết bằng tiếng Anh, cho thấy khả năng kẻ tấn công có thể mở rộng phạm vi ra ngoài Russia, nhắm đến người dùng toàn cầu.

Hậu Quả Nghiêm Trọng: Không Chỉ Mất Crypto

Kaspersky nhấn mạnh rằng mối đe dọa không dừng lại ở việc đánh cắp tiền mã hóa. Phần mềm độc hại này còn triển khai một công cụ đào tiền mã hóa (cryptocurrency miner) trên thiết bị nạn nhân, sử dụng tài nguyên máy tính để tạo lợi nhuận cho kẻ tấn công. Hơn nữa, các phương pháp duy trì quyền truy cập của kẻ tấn công rất đáng chú ý. Kaspersky nhận định: “Kẻ tấn công sử dụng nhiều phương pháp, bao gồm cả những cách không thông thường, để duy trì quyền truy cập vào hệ thống bị nhiễm.”

Nguy hiểm hơn, kẻ tấn công có thể bán quyền truy cập vào hệ thống của nạn nhân cho các tổ chức tội phạm nguy hiểm hơn. Điều này có thể dẫn đến các cuộc tấn công nghiêm trọng hơn, như đánh cắp dữ liệu cá nhân, triển khai ransomware, hoặc sử dụng thiết bị nạn nhân trong các chiến dịch botnet.

Lời Cảnh Báo Từ Kaspersky: Hãy Cẩn Thận Với Nguồn Tải Xuống

Kaspersky khuyến cáo người dùng không nên tải phần mềm từ các nguồn không đáng tin cậy. “Nếu bạn không thể tải phần mềm từ nguồn chính thức vì bất kỳ lý do gì, hãy nhớ rằng việc tìm kiếm các tùy chọn tải thay thế luôn đi kèm rủi ro bảo mật cao hơn,” báo cáo nêu rõ. Điều này đặc biệt quan trọng trong bối cảnh thị trường crypto đang chịu nhiều mối đe dọa, với các chiến dịch tương tự từng được ghi nhận – như vụ phần mềm giả mạo Tor Browser đánh cắp 400.000 USD vào năm 2023, theo Kaspersky.

Tác Động Đến Thị Trường Crypto

Vụ việc này làm gia tăng lo ngại về an ninh trong thị trường tiền mã hóa, vốn đã giảm 11,65% vốn hóa (2,88 nghìn tỷ USD) trong Q1/2025. Bitcoin và Ethereum cũng đang chịu áp lực, lần lượt giảm 14% và 50%. Sự gia tăng của các mối đe dọa như ClipBanker có thể làm suy giảm niềm tin của nhà đầu tư, đặc biệt là những người dùng cá nhân – nhóm dễ bị tấn công nhất do thiếu các biện pháp bảo mật chuyên sâu.


Kết Luận: Bảo Vệ Ví Crypto Trong Thời Đại Tội Phạm Mạng

Phần mềm độc hại ClipBanker trên SourceForge là lời cảnh báo nghiêm túc cho người dùng crypto: luôn kiểm tra kỹ địa chỉ ví trước khi giao dịch và chỉ tải phần mềm từ nguồn đáng tin cậy. Với 4.604 nạn nhân tại Russia từ tháng 01 đến tháng 03/2025 và nguy cơ lan rộng toàn cầu, mối đe dọa này cho thấy tội phạm mạng đang ngày càng tinh vi. Trong bối cảnh thị trường crypto bất ổn, việc bảo vệ tài sản số chưa bao giờ quan trọng hơn. Bạn đã sẵn sàng để không trở thành nạn nhân tiếp theo?


Cảnh báo rủi ro: Giao dịch crypto mang rủi ro cao do biến động giá và các mối đe dọa an ninh mạng. Hãy luôn cảnh giác và áp dụng các biện pháp bảo mật cần thiết. #anhbacong

Bạn nghĩ rằng mình vừa "hời" khi mua được một chiếc smartphone giá rẻ? Rất có thể, bạn đang trở thành mục tiêu của một loại phần mềm độc hại nguy hiểm nhất hiện nay – và crypto của bạn có thể đã không còn an toàn.

Điện thoại giả, tiền thật bị mất

Theo báo cáo mới nhất từ công ty an ninh mạng #Kaspersky , hơn 2.600 người dùng Android đã trở thành nạn nhân của phần mềm độc hại Triada Trojan, vốn được cài sẵn trong các điện thoại giả mạo giá rẻ trước khi đến tay người dùng.

Các thiết bị này trông giống như smartphone bình thường, nhưng thực chất đã bị can thiệp ngay từ chuỗi cung ứng, khiến cả nhà bán hàng cũng có thể không biết rằng mình đang phân phối thiết bị nhiễm mã độc.

Triada Trojan – Kẻ đánh cắp crypto vô hình

Triada xuất hiện từ năm 2016 và kể từ đó đã trở thành một trong những mã độc nguy hiểm nhất dành cho hệ điều hành Android. Phiên bản mới nhất được ghi nhận trong tháng 3/2025 cho thấy:

Mã độc được cấy sâu vào nhân hệ thống của điện thoại, khó bị phát hiện hoặc xóa bỏ.

Có thể chiếm quyền root và can thiệp trực tiếp vào các tiến trình hệ thống như Zygote – bộ xử lý khởi chạy tất cả ứng dụng Android.

Cho phép hacker toàn quyền điều khiển thiết bị từ xa, bao gồm:

Đánh cắp thông tin tài khoản mạng xã hội (Telegram, TikTok, v.v.)

Thay đổi địa chỉ ví crypto khi giao dịch
Giả mạo và gửi tin nhắn từ chính thiết bị của nạn nhân

Thay số điện thoại khi đang gọi điện – một hành vi cực kỳ tinh vi để nghe lén và chặn thông tin nhạy cảm


Tấn công có tổ chức từ chuỗi cung ứng

Ông Dmitry Kalinin – chuyên gia an ninh mạng của Kaspersky – nhận định:

“Nhiều khả năng các thiết bị đã bị nhiễm mã độc trong một khâu nào đó của chuỗi cung ứng, trước khi đến tay người dùng. Điều này khiến các cửa hàng khó lòng phát hiện rủi ro từ các thiết bị này.”

Từ ngày 13 đến 27/3/2025, Kaspersky ghi nhận ít nhất 2.672 thiết bị đã bị ảnh hưởng, nhưng họ cảnh báo đây chỉ là phần nổi của tảng băng chìm, vì nhiều nạn nhân có thể vẫn chưa biết rằng mình đã bị theo dõi và đánh cắp dữ liệu.


Crypto dưới tầm ngắm

Điều đáng sợ nhất của Triada chính là mục tiêu rõ ràng vào người dùng crypto:

Thay thế địa chỉ ví khi copy-paste, khiến tiền chuyển đi nhưng không đến đúng người.

Giả mạo giao diện ứng dụng ví tiền, đánh lừa người dùng nhập cụm từ khôi phục (seed phrase).

Chặn hoặc làm gián đoạn các biện pháp chống gian lận, khiến nạn nhân bị lừa mà không hay biết.

Đáng chú ý, Triada không hoạt động như các virus thông thường – nó chủ yếu chạy trên RAM và có thể ẩn mình khỏi các ứng dụng diệt virus phổ thông.


Mối nguy mở rộng: Xuất hiện thêm mã độc Crocodilus

Kaspersky cũng cảnh báo về một loại mã độc mới xuất hiện gần đây có tên là Crocodilus, chuyên giả dạng ứng dụng ví tiền điện tử để đánh cắp seed phrase và điều khiển thiết bị từ xa. Điều này cho thấy mã độc nhắm vào người dùng crypto đang ngày càng phát triển tinh vi và nguy hiểm hơn.

Làm sao để bảo vệ thiết bị và tài sản số của bạn?

Kaspersky khuyến cáo người dùng nên:

✅ Chỉ mua điện thoại từ các nguồn chính hãng hoặc nhà bán lẻ uy tín

✅ Tránh sử dụng các ứng dụng từ nguồn không rõ ràng, đặc biệt là những ứng dụng yêu cầu quyền truy cập sâu

✅ Cài đặt phần mềm bảo mật đáng tin cậy, được cập nhật thường xuyên

✅ Luôn kiểm tra địa chỉ ví thật kỹ trước khi chuyển tiền, đặc biệt khi copy-paste

✅ Tuyệt đối không chia sẻ seed phrase, kể cả với ứng dụng tưởng chừng như "chính chủ"

Kết luận: Khi chiếc smartphone giá rẻ có thể khiến bạn mất trắng ví crypto

Sự quay trở lại của Triada cho thấy thị trường điện thoại #Android giả và rẻ tiền đang là điểm yếu cực kỳ nguy hiểm trong bảo mật số, đặc biệt với người dùng crypto. Trong thời đại mọi thứ đều kết nối, một thiết bị không an toàn có thể khiến tài sản kỹ thuật số của bạn bốc hơi trong tích tắc.

Hãy cảnh giác: Giá rẻ có thể là cái bẫy, nhất là khi dính đến crypto.

⛔ Cảnh báo rủi ro: Thị trường tiền mã hóa luôn tiềm ẩn nhiều rủi ro, đặc biệt khi đi kèm với các mối đe dọa an ninh mạng như malware và phần mềm độc hại. Luôn cập nhật thông tin, bảo vệ ví và thiết bị cá nhân, đồng thời chỉ sử dụng các ứng dụng và thiết bị đáng tin cậy để hạn chế rủi ro mất mát tài sản. #anhbacong