Cộng đồng Cardano đang bị tấn công: Chiến dịch lừa đảo mới nhất nhắm vào người dùng ví

Người dùng Cardano đang đối mặt với một cuộc khủng hoảng an ninh ngày càng gia tăng khi các tin tặc phát động một chiến dịch lừa đảo tinh vi giả mạo đội ngũ phát triển ví Eternl Desktop. Chiến dịch này sử dụng các email giả mạo nhằm quảng bá phần thưởng crypto giả để phân phối phần mềm độc hại có khả năng cấp quyền kiểm soát toàn bộ hệ thống cho kẻ tấn công. Đây là một mối đe dọa nghiêm trọng đối với bất kỳ ai nắm giữ hoặc staking tài sản Cardano, khi cuộc tấn công kết hợp các chiến thuật xã hội và cơ chế phân phối malware tiên tiến.

Quá trình Phishing diễn ra như thế nào

Cuộc tấn công bắt đầu bằng các email lừa đảo giả mạo như các thông báo chính thức từ đội ngũ phát triển Eternl. Những email giả mạo này sử dụng ngôn ngữ chuyên nghiệp, định dạng chỉnh chu và các tính năng quản trị hợp pháp để tạo độ tin cậy. Người nhận bị lôi kéo với lời hứa về phần thưởng NIGHT và ATMA token độc quyền, tạo ra cảm giác cấp bách giả tạo để nhấp vào các liên kết nhúng.

Các email phishing hướng người dùng không cảnh giác đến một tên miền mới đăng ký: download[dot]eternldesktop[dot]network. Nhà nghiên cứu mối đe dọa Anurag nhận thấy rằng kẻ tấn công sao chép gần như hoàn hảo thông báo ban đầu của Eternl Desktop, thêm các tính năng giả mạo như quản lý khóa cục bộ và khả năng tương thích ví phần cứng. Các email này không có lỗi chính tả và bắt chước phong cách chuyên nghiệp của các thông báo chính thống — một chiến lược có chủ đích để vượt qua sự hoài nghi ban đầu của người dùng.

Cơ chế phân phối malware: Trojan trong trình cài đặt giả mạo

Khi người dùng tải xuống phần mềm họ nghĩ là ví Eternl chính hãng, họ vô tình thực thi một tệp trình cài đặt MSI chứa vũ khí tên là Eternl.msi (băm tệp: 8fa4844e40669c1cb417d7cf923bf3e0). Tệp này chứa một công cụ LogMeIn Resolve đã được đóng gói, một tiện ích truy cập từ xa hợp pháp được tái sử dụng cho mục đích độc hại.

Sau khi chạy, trình cài đặt này triển khai một tệp thực thi tên là unattended_updater.exe (ban đầu có tên GoToResolveUnattendedUpdater.exe). Thành phần này tạo ra một hệ thống thư mục trong Program Files và ghi nhiều tệp cấu hình, bao gồm unattended.json và pc.json. Đặc biệt, tệp unattended.json cho phép chức năng truy cập từ xa mà không cần sự đồng ý hoặc nhận thức của người dùng.

Phân tích lưu lượng mạng cho thấy malware kết nối tới hạ tầng của GoTo Resolve, cụ thể là các thiết bị-iot.console.gotoresolve.com và dumpster.console.gotoresolve.com. Tệp thực thi này truyền dữ liệu hệ thống dưới dạng JSON và thiết lập các kết nối từ xa liên tục, cung cấp cho kẻ tấn công một lối cửa hậu vào máy tính nạn nhân.

Truy cập từ xa đồng nghĩa với việc kiểm soát toàn bộ hệ thống

Khi công cụ LogMeIn Resolve hoạt động, các tác nhân đe dọa có thể thực thi lệnh không hạn chế. Họ có thể chạy các lệnh tùy ý, truy cập các tệp nhạy cảm, thao tác phần mềm ví hoặc trích xuất khóa riêng và seed phrase. Malware này hoạt động âm thầm mà không thông báo cho người dùng, khiến việc phát hiện trở nên cực kỳ khó khăn đối với người dùng trung bình.

Chiến dịch phishing này vượt qua các cơ chế xác minh hệ điều hành tiêu chuẩn và thiếu xác thực chữ ký số — cho phép trình cài đặt độc hại chạy mà không kích hoạt cảnh báo bảo mật. Độ tinh vi kỹ thuật này phân biệt nó với các cuộc tấn công phishing thô sơ và báo hiệu sự tham gia của các tác nhân đe dọa có tổ chức.

Bài học từ các cuộc tấn công trước: Tiền lệ Meta

Chiến dịch phishing Cardano này phản ánh một vụ lừa đảo doanh nghiệp Meta đã từng gây thiệt hại cho hàng nghìn nhà quảng cáo. Trong cuộc tấn công đó, người dùng nhận email khẳng định tài khoản quảng cáo của họ vi phạm quy định EU và sắp bị đình chỉ. Các tin nhắn này mang thương hiệu Instagram và ngôn ngữ chính thức để tạo uy tín.

Nhấp vào liên kết phishing dẫn nạn nhân đến một giao diện giả mạo của Meta Business Manager. Trang giả cảnh báo về việc chấm dứt tài khoản trừ khi người dùng cập nhật ngay thông tin đăng nhập. Một trò chuyện hỗ trợ lừa đảo sau đó hướng dẫn người dùng qua một “quy trình khôi phục” trong khi thu thập thông tin đăng nhập của họ. Các điểm tương đồng rõ rệt: cả hai chiến dịch đều sử dụng lý do pháp lý, thương hiệu chính thức, chiến thuật cấp bách và thu thập thông tin xác thực.

Cách tự bảo vệ khỏi các mối đe dọa phishing và malware

Các nhà nghiên cứu an ninh nhấn mạnh một số biện pháp bảo vệ:

• Chỉ tải xuống từ các nguồn chính thức: Luôn lấy phần mềm ví trực tiếp từ trang web chính thức của dự án hoặc các kho GitHub đã xác thực, không qua liên kết email
• Xác minh tính xác thực của tên miền: Kiểm tra kỹ URL — kẻ gian thường đăng ký các tên miền khác biệt chỉ một chữ cái so với chính thức
• Kiểm tra thông tin người gửi: Các dự án hợp pháp không bao giờ yêu cầu tải xuống ví qua email không mong muốn
• Kích hoạt các biện pháp bảo vệ hệ thống: Giữ phần mềm chống virus cập nhật, bật Windows Defender và cấu hình tường lửa
• Xác minh chữ ký số: Phần mềm hợp pháp đi kèm chứng chỉ số hợp lệ; các tệp không có chữ ký nên được coi là đáng ngờ ngay lập tức
• Sử dụng ví phần cứng: Đối với lượng lớn tài sản, xem xét dùng ví phần cứng như Ledger hoặc Trezor để tránh bị xâm phạm bởi malware trên desktop
• Báo cáo email đáng ngờ: Chuyển tiếp các email phishing đến các dự án ví và nhà cung cấp dịch vụ email của bạn

Sự tinh vi của chiến dịch phishing này — kết hợp kỹ năng malware kỹ thuật cao với tâm lý xã hội — nhấn mạnh tầm quan trọng của việc cảnh giác. Ngay cả các thông báo chỉnh chu và giao diện có vẻ hợp pháp cũng có thể che giấu các mối đe dọa tàn phá. Khi việc chấp nhận Cardano mở rộng, nó cũng trở thành mục tiêu hấp dẫn của các tội phạm mạng, khiến cộng đồng cần nâng cao nhận thức về các chiến thuật phishing và cơ chế phân phối malware để đảm bảo an toàn cho hệ sinh thái.