Phần mềm độc hại MassJacker mới nhắm vào người dùng vi phạm bản quyền và đánh cắp tiền điện tử

CyberArk đã phát hiện gần 780.000 ví liên quan đến vụ trộm, với chỉ 423 ví chứa tiền điện tử vào thời điểm phân tích.

Một loại phần mềm độc hại mới, được gọi là MassJacker, đang nhắm vào những người dùng tìm kiếm phần mềm bị vi phạm bản quyền và chiếm đoạt các giao dịch tiền điện tử bằng cách thay thế các địa chỉ đã lưu. Phần mềm độc hại này bắt nguồn từ trang web pesktop[dot]com, nơi người dùng không nghi ngờ có thể tải về khi tìm kiếm phần mềm không được phép. Khi đã cài đặt, MassJacker thay thế các địa chỉ tiền điện tử trong bảng nhớ tạm bằng những địa chỉ do kẻ tấn công kiểm soát.

Nghiên cứu của CyberArk đã xác định 778.531 ví độc nhất liên quan đến vụ trộm. Tuy nhiên, chỉ có 423 trong số này có tài sản tiền điện tử vào bất kỳ thời điểm nào. Tổng giá trị tiền điện tử được lưu trữ hoặc chuyển ra khỏi các ví này đạt 336.700 đô la vào tháng 8, mặc dù số tiền thực tế bị đánh cắp có thể thay đổi.

Một ví nổi bật do hoạt động của nó, nắm giữ hơn 600 Solana (SOL) với giá trị khoảng 87.000 đô la trong thời gian phân tích. Ví này cũng có lịch sử nắm giữ các token không thể thay thế, bao gồm Gorilla Reborn và Susanoo.

Việc kiểm tra ví trên trình khám phá blockchain của Solana, Solscan, cho thấy có 1.184 giao dịch từ ngày 11 tháng 3 năm 2022. Chủ sở hữu ví đã tham gia vào các hoạt động tài chính phi tập trung vào tháng 11 năm 2024, giao dịch các token như Jupiter (JUP), Uniswap (UNI), USDC, và Raydium (RAY).

Phần mềm độc hại tiền điện tử nhắm vào nhiều loại thiết bị

Phần mềm độc hại tiền điện tử không phải là hiện tượng mới. Kịch bản đầu tiên về cryptojacking đã được Coinhive công khai phát hành vào năm 2017, và kể từ đó, kẻ tấn công đã sử dụng nhiều hệ điều hành khác nhau để nhắm vào các thiết bị khác nhau.

Vào tháng 2 năm 2025, Kaspersky Labs đã báo cáo phát hiện phần mềm độc hại tiền điện tử được nhúng trong các bộ công cụ tạo ứng dụng cho Android và iOS, có khả năng quét hình ảnh để tìm cụm từ khóa tiền điện tử. Vào tháng 10 năm 2024, Checkmarx đã phát hiện phần mềm độc hại đánh cắp tiền điện tử trong một Chỉ số Gói Python, được các nhà phát triển sử dụng để chia sẻ và tải xuống mã. Các phần mềm độc hại khác cũng đã nhắm vào các thiết bị macOS.

Kẻ tấn công ngày càng sử dụng các phương pháp tinh vi để lây nhiễm thiết bị. Một trong những phương pháp như vậy là lừa đảo việc làm giả, nơi kẻ tấn công tuyển dụng nạn nhân dưới vỏ bọc cung cấp việc làm. Trong cuộc phỏng vấn ảo, kẻ tấn công yêu cầu nạn nhân sửa chữa vấn đề về micro hoặc camera, điều này dẫn đến việc cài đặt phần mềm độc hại sau đó làm cạn kiệt ví tiền điện tử của nạn nhân.

Cuộc tấn công "clipper", nơi phần mềm độc hại thay đổi các địa chỉ tiền điện tử trong bảng nhớ tạm, ít được biết đến hơn so với phần mềm độc hại tống tiền hoặc đánh cắp thông tin. Theo CyberArk, phương pháp này có lợi cho kẻ tấn công vì nó hoạt động một cách lén lút và thường không bị phát hiện trong các môi trường sandbox.

Theo Cointelegraph

Tin khác