Giới mộ điệu tiền mã hóa đang đứng trước một mối đe dọa mới đầy tinh vi: một chiến dịch lừa đảo kỹ thuật xã hội được thiết kế để dụ nạn nhân cài đặt mã độc kiểm soát thiết bị, thông qua tính năng plugin cộng đồng của ứng dụng ghi chú phổ biến Obsidian.
Phòng thí nghiệm Bảo mật Elastic vừa công bố một báo cáo chi tiết vào thứ Ba, vạch trần một chiến dịch mới nhắm vào những người trong lĩnh vực crypto và tài chính. Kẻ gian sử dụng các chiêu trò kỹ thuật xã hội phức tạp trên LinkedIn và Telegram để lừa đảo nạn nhân, khiến họ vô tình cài đặt phần mềm độc hại nhưng tưởng chừng vô hại trên thiết bị của mình.
Điểm mấu chốt của vụ tấn công này là việc lợi dụng hệ sinh thái plugin cộng đồng trên Obsidian. Mã độc sẽ tự động thực thi khi nạn nhân mở một “vault” đám mây được chia sẻ, và đáng lo ngại hơn, nó hoạt động hiệu quả trên cả thiết bị Windows và macOS.
Đây là chiến dịch tấn công mới nhất nhắm vào người dùng crypto, một mục tiêu béo bở cho những kẻ lừa đảo do tính chất không thể đảo ngược của các giao dịch blockchain. Chỉ riêng trong năm 2025, đã có $713 triệu đô la bị đánh cắp thông qua các vụ xâm nhập ví tiền mã hóa cá nhân, theo dữ liệu từ Chainalysis.
Elastic cho biết, chiêu trò bắt đầu khi những kẻ lừa đảo liên hệ với nạn nhân trên LinkedIn, đóng giả làm một công ty quỹ đầu tư mạo hiểm. Sau đó, cuộc trò chuyện được chuyển sang Telegram, tập trung vào các giải pháp thanh khoản tiền mã hóa, tạo ra một bối cảnh kinh doanh hợp lý.
Kẻ tấn công yêu cầu nạn nhân sử dụng Obsidian, giới thiệu đây là cơ sở dữ liệu của công ty giả mạo để truy cập bảng điều khiển chung. Nạn nhân được cung cấp thông tin đăng nhập để kết nối với một vault được lưu trữ trên đám mây, do chính kẻ tấn công kiểm soát.
“Vault này là vectơ truy cập ban đầu,” Elastic nhấn mạnh. “Sau khi được mở trong Obsidian, nạn nhân được hướng dẫn bật tính năng đồng bộ plugin cộng đồng. Ngay lập tức, các plugin bị trojan hóa sẽ âm thầm thực thi chuỗi tấn công.”
Các cuộc tấn công có đôi chút khác biệt giữa Windows và macOS, nhưng cả hai đều triển khai một loại trojan truy cập từ xa (RAT) chưa từng được ghi nhận trước đây, mà Elastic đặt tên là “PHANTOMPULSE”.
Mã độc này, được ngụy trang thành phần mềm hợp pháp, cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị của nạn nhân. Elastic bổ sung rằng PHANTOMPULSE “được thiết kế để tàng hình, có khả năng phục hồi và cung cấp quyền truy cập từ xa toàn diện”.
Điều đặc biệt là PHANTOMPULSE sử dụng cơ chế điều khiển và kiểm soát (C2) phi tập trung thông qua ít nhất ba mạng lưới blockchain khác nhau. Nó sử dụng dữ liệu giao dịch on-chain liên kết với một ví cụ thể để kết nối với kẻ tấn công và nhận lệnh.
Liên quan: Bộ Tài chính Hoa Kỳ mở rộng thông tin tình báo an ninh mạng cho ngành Crypto
“Kỹ thuật này cung cấp cho kẻ điều hành khả năng xoay vòng độc lập với cơ sở hạ tầng,” Elastic giải thích. “Vì các giao dịch blockchain là bất biến và công khai, mã độc luôn có thể định vị C2 của nó mà không phụ thuộc vào cơ sở hạ tầng tập trung.”
“Việc sử dụng ba chuỗi độc lập tăng cường tính dự phòng: ngay cả khi trình khám phá của một chuỗi bị chặn hoặc không khả dụng, hai chuỗi còn lại vẫn cung cấp các đường dẫn giải quyết thay thế,” báo cáo cho biết thêm.
Elastic khẳng định đã chặn được cuộc tấn công này, nhưng nó cho thấy rằng những kẻ tấn công “tiếp tục tìm ra các vectơ truy cập ban đầu sáng tạo.” Việc lạm dụng hệ sinh thái plugin do cộng đồng Obsidian vận hành cho phép chúng vượt qua “các biện pháp kiểm soát bảo mật truyền thống hoàn toàn, dựa vào chức năng dự kiến của ứng dụng để thực thi mã tùy ý”.
Các công ty tài chính và crypto “nên nhận thức rằng các công cụ năng suất hợp pháp có thể biến thành các vectơ tấn công,” và các tổ chức nên thực thi các chính sách plugin cấp ứng dụng để phòng thủ chống lại các cuộc tấn công tương tự.
Tạp chí: Bitcoin có thể mất 7 năm để nâng cấp lên hậu lượng tử — Đồng tác giả BIP-360
tienso.org cam kết đưa tin độc lập và minh bạch. Bài viết này được sản xuất theo Chính sách Biên tập của tienso.org và nhằm cung cấp thông tin chính xác, kịp thời. Độc giả được khuyến khích tự mình xác minh thông tin.
