Silent Swap kết hợp tiện ích trình duyệt với cơ chế ánh xạ ví từ phía máy chủ. Ảnh: Shutterstock

McAfee vừa cảnh báo về một chiến dịch mã độc mới có khả năng đánh tráo địa chỉ ví tiền mã hóa của người dùng sang địa chỉ do tin tặc kiểm soát. So với các dòng clipper truyền thống, biến thể này được đánh giá tinh vi hơn nhờ kết hợp tiện ích trình duyệt với máy chủ chỉ huy và điều khiển (C2) để né phát hiện.

Theo U.Today ngày 1/7, bộ phận Advanced Threat Research của McAfee cho biết đã phát hiện một mẫu mã độc đánh cắp tiền mã hóa mới, được đặt tên là Silent Swap.

Cơ chế chính của Silent Swap là can thiệp địa chỉ ví vừa được người dùng sao chép và tự động thay bằng địa chỉ của kẻ tấn công. Khác với clipper thông thường vốn lưu sẵn địa chỉ ví trong mã độc, Silent Swap hoạt động thông qua tiện ích trình duyệt và lấy địa chỉ thay thế theo thời gian thực từ máy chủ điều khiển của tin tặc.

Nhóm nghiên cứu gọi đây là kỹ thuật “ánh xạ ví từ phía máy chủ” (server-side wallet mapping). Khi chuỗi ký tự người dùng sao chép trùng với mẫu địa chỉ ví của các đồng tiền được hỗ trợ như Bitcoin, Ethereum, XRP, Bitcoin Cash và Dash, tiện ích độc hại sẽ gửi truy vấn đến máy chủ để nhận địa chỉ mới rồi tự động thay thế.

Quá trình lây nhiễm thường bắt đầu khi người dùng chạy các trình cài đặt không có chữ ký số, được viết bằng .NET hoặc Go. Các tệp này thường ngụy trang dưới dạng phần mềm miễn phí hoặc phiên bản crack. Sau khi thiết bị bị nhiễm, mã độc sẽ cài một tiện ích trình duyệt độc hại giả mạo công cụ hợp pháp với tên “Google Note”.

Silent Swap chủ yếu nhắm vào các trình duyệt dựa trên Chromium như Google Chrome, Microsoft Edge, Brave và Opera. Theo McAfee, mã độc can thiệp vào tệp cấu hình trình duyệt để ép chèn tiện ích trái phép, sau đó cập nhật cả dữ liệu xác minh tính toàn vẹn của tiện ích nhằm qua mặt cơ chế kiểm tra bảo mật. Sau khi được cài, tiện ích này có thể duy trì hoạt động lâu dài trong trình duyệt với quyền truy cập rộng.

Hạ tầng chỉ huy và điều khiển (C2) của chiến dịch này cũng được thiết kế để khó bị lần vết hơn. Thay vì lưu trực tiếp địa chỉ máy chủ C2 trong mã độc, tin tặc sử dụng kỹ thuật EtherHiding để truyền thông tin máy chủ qua hạ tầng phân tán.

McAfee đánh giá Silent Swap là một biến thể kết hợp kỹ thuật thao túng trình duyệt ở mức cao với hạ tầng C2 phân tán, khiến việc phát hiện và ngăn chặn khó hơn đáng kể so với các mã độc clipper hiện có.

Thiệt hại đã được ghi nhận tại nhiều khu vực, trong đó số ca nhiễm tập trung ở Ấn Độ. Tuy nhiên, quy mô lây lan và số tiền bị đánh cắp đến nay vẫn chưa được công bố.

Theo các chuyên gia, vụ việc cho thấy kỹ thuật đánh cắp tiền mã hóa không còn dừng ở việc theo dõi clipboard mà đã chuyển sang tấn công trực tiếp vào cấu trúc bảo mật của trình duyệt. Do địa chỉ ví có thể bị tự động thay đổi sau khi người dùng vô tình chạy nhầm tệp cài đặt giả mạo, họ khuyến cáo người dùng luôn kiểm tra kỹ địa chỉ nhận cuối cùng trước khi chuyển tiền mã hóa để giảm rủi ro.

Từ khóa

#Silent Swap #McAfee #mã độc #clipper #Bitcoin #XRP #Chromium #tiện ích trình duyệt #C2 #EtherHiding
Copyright © DigitalToday. All rights reserved. Unauthorized reproduction and redistribution are prohibited.