Hacker biến quảng cáo Facebook thành bẫy rút tiền crypto

Các chiến dịch quảng cáo giả mạo “cập nhật Windows 11” trên Facebook đang phát tán mã độc nhắm thẳng vào người dùng tiền điện tử, nhằm đánh cắp seed phrase, thông tin đăng nhập và dữ liệu ví.
Thủ đoạn tận dụng thương hiệu Microsoft, website bị clone và kỹ thuật né quét như geofencing để vượt qua kiểm tra tự động. Khi nạn nhân tải “bộ cài”, mã độc có thể thu thập mật khẩu đã lưu, phiên trình duyệt và tệp ví crypto, khiến rủi ro mất tài sản tăng mạnh.
NỘI DUNG CHÍNH
Quảng cáo “Windows 11 update” giả trên Facebook dẫn người dùng đến website Microsoft bị làm giả để cài mã độc.
Kẻ tấn công dùng geofencing và cơ chế né phân tích để tránh bị phát hiện, đồng thời lấy cắp seed phrase, tệp ví và phiên đăng nhập.
Mã độc qua quảng cáo mạng xã hội không mới, từng lợi dụng Pi2Day và chiêu “TradingView Premium miễn phí”, lan sang cả Google và YouTube.
Quảng cáo cập nhật Windows 11 giả trên Facebook là một chiến dịch lừa đảo có chủ đích
Các quảng cáo trông như cập nhật Windows 11 thật đang dẫn nạn nhân tới trang Microsoft bị clone và tải bộ cài độc hại, từ đó đánh cắp thông tin ví tiền điện tử và dữ liệu đăng nhập.
Theo một báo cáo của Malwarebytes, kẻ tấn công sử dụng bộ nhận diện thương hiệu Microsoft chuyên nghiệp để tăng độ tin cậy. Sau khi nhấp quảng cáo, người dùng được đưa đến một website sao chép giao diện Microsoft, dùng tên miền “na ná” các tên miền chính thống nhằm đánh lừa thị giác và thói quen kiểm tra URL.
Để tránh bị hệ thống phát hiện tự động, chiến dịch triển khai geofencing, một kỹ thuật lọc đối tượng dựa trên điều kiện truy cập. Cụ thể, mục tiêu thường là người dùng kết nối từ mạng gia đình hoặc văn phòng, trong khi các IP từ trung tâm dữ liệu có thể bị loại để né các công cụ quét và phân tích tự động.
Nếu vượt qua lớp lọc, nạn nhân sẽ nhận một trình cài đặt độc hại. Gói cài đặt được lưu trữ trên GitHub và tải xuống từ một tên miền “có vẻ an toàn” nhờ sử dụng chứng chỉ bảo mật, khiến quá trình tải trông giống một bản tải về hợp lệ. Đây là điểm khiến nhiều người dùng crypto chủ quan khi thấy trình duyệt hiển thị kết nối “bảo mật”.
Mã độc nhắm trực tiếp tài sản crypto bằng cách đánh cắp seed phrase và dữ liệu ví
Mã độc tìm cách thu thập seed phrase, tệp ví và dữ liệu nhạy cảm liên quan đến phiên trình duyệt, từ đó cho phép kẻ xấu chiếm quyền truy cập tài khoản và rút tiền điện tử.
Gói cài đặt độc hại được mô tả có cơ chế né tránh: quét môi trường ảo hóa và các công cụ phân tích, rồi dừng thực thi khi phát hiện dấu hiệu bị “soi”. Điều này làm giảm khả năng bị sandbox hoặc hệ thống kiểm thử tự động ghi nhận hành vi xấu, trong khi trên máy nạn nhân thật, mã độc vẫn cài đặt và lây nhiễm.
Mã độc tạo và sử dụng một framework “có vẻ hợp pháp” trong thư mục mang tên LunarApplication. Tên này tương tự một thương hiệu công cụ crypto có tên Lunar, dễ khiến người dùng nhầm là thành phần liên quan đến ứng dụng hoặc tiện ích giao dịch. Trên thực tế, mục tiêu là tệp ví crypto và seed phrase, sau đó gửi dữ liệu về cho kẻ tấn công.
Ngoài thông tin ví, chiến dịch được mô tả còn có thể thu thập mật khẩu đã lưu và phiên trình duyệt. Với người dùng tiền điện tử, đây là rủi ro nghiêm trọng vì nhiều dịch vụ sàn giao dịch, ví web, hoặc công cụ quản trị tài khoản vẫn tồn tại điểm yếu “phiên đăng nhập còn hiệu lực” nếu thiết bị bị kiểm soát.
Geofencing và hạ tầng tải về “trông an toàn” giúp chiến dịch tồn tại lâu
Nhờ geofencing, chứng chỉ bảo mật và kỹ thuật né phân tích, các chiến dịch quảng cáo độc hại có thể chạy dai dẳng mà không bị gỡ nhanh, đặc biệt khi nhắm nhóm người dùng khó nhận biết dấu hiệu kỹ thuật.
Việc tránh IP trung tâm dữ liệu khiến nhiều hệ thống rà quét quảng cáo và các bot kiểm tra an toàn khó tái tạo đúng “điều kiện nạn nhân”, dẫn đến không tải được payload độc hại hoặc chỉ thấy nội dung vô hại. Đây là một lý do khiến các chiến dịch có thể kéo dài “trong thời gian dài” như mô tả, dù hoạt động công khai trên nền tảng quảng cáo.
Mã độc crypto lan qua quảng cáo mạng xã hội đã tái diễn nhiều lần
Quảng cáo độc hại không chỉ xuất hiện ở Facebook; các chiến dịch trước đó đã lợi dụng sự kiện cộng đồng, thương hiệu phổ biến và cả nền tảng quảng cáo Google, YouTube để phát tán malware và lừa lấy thông tin ví.
Năm trước, kẻ tấn công lợi dụng sự kiện Pi2Day của cộng đồng Pi Network (diễn ra ngày 28/6) để chạy chiến dịch quảng cáo giả mạo. Trong sự kiện này, hacker đã triển khai 140 quảng cáo giả sử dụng nhận diện Pi Network, dẫn nạn nhân đến trang phishing hứa hẹn Pi token miễn phí hoặc airdrop, nhưng yêu cầu đổi lại là recovery phrase.
Chiến dịch trên nhắm nhiều khu vực như Mỹ, châu Âu, Úc, Trung Quốc và Ấn Độ, đồng thời dùng mồi nhử như “đào Pi dễ dàng trên điện thoại” để mở rộng tệp nạn nhân. Đây là mô-típ phổ biến: hứa phần thưởng, tối ưu nội dung quảng cáo theo vùng địa lý và tâm lý FOMO của cộng đồng crypto.
Một chiến dịch khác từng quảng bá “TradingView Premium miễn phí” thông qua quảng cáo Meta và lan sang cả quảng cáo Google và YouTube. Các nhà nghiên cứu từ Bitdefender Labs đã ghi nhận chiến dịch này, bao gồm hành vi chiếm dụng tài khoản YouTube đã xác minh và tài khoản quảng cáo Google để tăng độ tin cậy rồi chuyển hướng nạn nhân sang trang độc hại.
Thiệt hại từ lừa đảo crypto và infostealer năm 2025 cho thấy quy mô rủi ro
Dù không có thống kê công khai riêng cho “quảng cáo giả”, dữ liệu năm 2025 cho thấy lừa đảo crypto và infostealer gây thiệt hại lớn, củng cố cảnh báo rằng quảng cáo độc hại là kênh phát tán hiệu quả.
Không có báo cáo công khai tách riêng tổng lượng tiền điện tử bị đánh cắp chỉ từ quảng cáo giả. Tuy nhiên, Chainalysis ước tính 17 tỷ USD đã bị mất do các hình thức lừa đảo crypto trong năm 2025, cho thấy bề mặt tấn công đối với người dùng tiền điện tử rất rộng và liên tục biến đổi.
Theo công ty an ninh mạng DeepStrike, mã độc infostealer đã ảnh hưởng đến hàng triệu thiết bị và đánh cắp khoảng 1,8 tỷ thông tin đăng nhập trong năm 2025. Báo cáo nêu rõ: “Bất cứ thứ gì gắn với tiền như ngân hàng trực tuyến, PayPal, ví tiền điện tử rõ ràng đều được tội phạm mạng thèm muốn.”
Những câu hỏi thường gặp
Dấu hiệu nào cho thấy quảng cáo “cập nhật Windows 11” có thể là giả?
Các dấu hiệu thường gặp gồm: URL lạ nhưng bắt chước tên miền Microsoft, trang đích giống Microsoft nhưng bố cục/đường dẫn không chuẩn, yêu cầu tải file cài đặt từ nguồn không phải kênh Microsoft, hoặc hành vi “chỉ một số người thấy nội dung” do geofencing.
Vì sao kẻ tấn công dùng geofencing trong chiến dịch quảng cáo độc hại?
Geofencing giúp lọc mục tiêu là người dùng thật (mạng gia đình/văn phòng) và né IP trung tâm dữ liệu. Nhờ vậy, bot quét tự động khó nhìn thấy payload độc hại, khiến chiến dịch tồn tại lâu hơn và khó bị gỡ.
Mã độc trong các chiến dịch này thường đánh cắp dữ liệu gì liên quan đến tiền điện tử?
Mục tiêu chính gồm seed phrase/recovery phrase, tệp ví tiền điện tử, thông tin đăng nhập, mật khẩu đã lưu và phiên trình duyệt. Những dữ liệu này có thể bị dùng để chiếm quyền tài khoản và chuyển tài sản crypto.
Có thống kê tổng số tiền điện tử bị đánh cắp từ quảng cáo giả không?
Hiện không có báo cáo công khai tách riêng thiệt hại chỉ từ quảng cáo giả. Tuy vậy, Chainalysis ước tính 17 tỷ USD đã bị mất do lừa đảo crypto trong năm 2025, cho thấy mức độ nghiêm trọng của rủi ro nói chung.