Mã độc JSCEAL tấn công người dùng crypto qua quảng cáo giả mạo

Các nhà nghiên cứu từ Check Point Research vừa cảnh báo về chiến dịch mã độc có tên JSCEAL, đang lây lan nhanh chóng thông qua quảng cáo trả phí giả mạo các ứng dụng crypto nổi tiếng như MetaMask, Binance, eToro, Kraken và nhiều nền tảng tài chính Web3 khác.

JSCEAL lợi dụng niềm tin của người dùng đối với các thương hiệu lớn bằng cách tạo ra quảng cáo trông hợp pháp, dẫn về trang tải xuống ứng dụng bị nhiễm mã độc. Người dùng – dù có ý thức bảo mật – vẫn dễ bị lừa bởi giao diện sao chép tinh vi và tệp cài đặt được ký số như thật.

Phương thức tấn công đa tầng: Vừa ẩn danh, vừa chọn lọc mục tiêu

Mỗi bước tấn công được JSCEAL thiết kế để vượt qua phần mềm bảo mật:

- Chuyển hướng (redirect) qua nhiều tên miền trung gian để đánh lừa hệ thống lọc quảng cáo.

- Tải xuống file MSI giả, khi mở ra sẽ kích hoạt PowerShell thu thập thông tin máy tính, tắt Defender và kiểm tra xem máy có thuộc diện “mục tiêu tiềm năng”.

- Nếu đủ điều kiện, máy sẽ bị cài payload JavaScript biên dịch (JSC), hoạt động ngầm qua Node.js – gần như vô hình với phần mềm diệt virus truyền thống.

Loại tấn công này đặc biệt nhắm vào người dùng có tài sản lớn, ví nóng, hoặc sử dụng trình duyệt đăng nhập sàn giao dịch crypto thường xuyên.

Thiệt hại: Tài khoản và ví tiền mã hóa bị chiếm quyền âm thầm

Một khi thiết bị bị xâm nhập, JSCEAL có thể:

- Đọc dữ liệu ví hot như MetaMask, Exodus, Phantom

- Ghi lại thao tác bàn phím, lấy mã 2FA, thông tin cá nhân

- Kiểm soát trình duyệt (Man-in-the-Browser), thao túng giao dịch mà người dùng không biết

- Gửi dữ liệu về server chỉ định và thực thi lệnh từ xa trong thời gian thực

Check Point ước tính có ít nhất hơn 10 triệu người dùng đã bị tiếp xúc trực tiếp hoặc gián tiếp với chiến dịch này trong 4 tháng qua – chủ yếu tại châu Âu, Đông Nam Á và Mỹ.

Chiến lược bảo vệ dành cho nhà đầu tư và tổ chức quản lý tài sản số

Với sự tinh vi của JSCEAL, người dùng không thể dựa vào “cảm giác an toàn” từ các app quen thuộc. Các chuyên gia an ninh mạng khuyến nghị:

- Không bao giờ tải phần mềm từ quảng cáo dù là Google, Facebook hay Twitter

- Ưu tiên sử dụng ví lạnh (hardware wallet) cho tài sản lớn

- Tắt quyền cài đặt phần mềm với tài khoản người dùng thông thường

- Cài phần mềm bảo mật chuyên biệt có khả năng quét JavaScript runtime

- Thường xuyên kiểm tra quá trình nền và ghi log trình duyệt

JSCEAL là minh chứng cho sự phát triển ngày càng tinh vi của các chiến dịch tấn công mạng trong lĩnh vực tiền mã hóa. Trong khi tài sản số mở ra cơ hội tài chính lớn, nó cũng đòi hỏi nhà đầu tư phải có kiến thức bảo mật tương xứng với quy mô tài sản mình đang nắm giữ.

Mã độc JSCEAL tấn công người dùng crypto qua quảng cáo giả mạo

• Tags:
• mã độc crypto JSCEAL
• quảng cáo giả ứng dụng ví
• tấn công ví tiền mã hóa
• bảo mật tài sản số
• malware đánh cắp Ethereum

Bình luận của bạn

*

*

*

*

 Captcha

Gửi bình luận nhập lại