Một nhóm tin tặc Nga có tên GreedyBear vừa mở rộng quy mô hoạt động, sử dụng tới 150 tiện ích mở rộng Firefox độc hại nhằm tấn công người dùng và đánh cắp tiền điện tử. Trong vòng hơn 5 tuần, chúng đã chiếm đoạt hơn 1 triệu USD từ các nạn nhân trên toàn cầu.
Theo báo cáo từ công ty an ninh mạng Koi Security (Mỹ và Israel), chiến dịch này được gọi là “tái định nghĩa hành vi trộm cắp tiền điện tử ở quy mô công nghiệp”. Ngoài các tiện ích Firefox giả mạo, GreedyBear còn vận hành gần 500 tệp thực thi độc hại trên Windows và hàng chục trang web lừa đảo, tất cả đều được thiết kế để lấy cắp thông tin đăng nhập ví điện tử.
Chiêu trò tinh vi: từ ví điện tử giả đến đánh cắp trực tiếp
Mục tiêu chính của chiến dịch là giả mạo những ví điện tử phổ biến như MetaMask, Exodus, Rabby Wallet và TronLink. Ban đầu, các tiện ích mở rộng này được đưa lên chợ ứng dụng dưới dạng “sạch” để qua mặt khâu kiểm duyệt, sau đó bị cập nhật mã độc nhằm đánh cắp dữ liệu ví.
GreedyBear còn tạo hàng loạt đánh giá giả tích cực để tăng độ tin cậy, khiến người dùng mất cảnh giác. Khi tải về và sử dụng, thông tin đăng nhập ví sẽ bị gửi thẳng về máy chủ của nhóm tin tặc, giúp chúng dễ dàng chiếm đoạt tài sản.
Không dừng ở đó, nhóm này còn cài đặt các tệp độc hại lên những website phân phối phần mềm lậu, gồm cả mã độc đánh cắp thông tin, phần mềm tống tiền và trojan. Đây là một “đường ống” phát tán mã độc đa dạng, có thể thay đổi chiến thuật tùy tình hình.
Hạ tầng điều hành tập trung
Điểm đáng chú ý, Koi Security phát hiện gần như toàn bộ các tên miền tấn công của GreedyBear đều liên kết về một địa chỉ IP duy nhất (185.208.156.66). Điều này cho thấy cơ chế điều hành tập trung chặt chẽ, đặc trưng của tội phạm mạng hoạt động vì lợi nhuận, thay vì chiến dịch do nhà nước bảo trợ.
Lời cảnh báo và khuyến nghị bảo mật
Chuyên gia của Koi Security khuyến cáo người dùng:
- Chỉ cài tiện ích mở rộng từ nhà phát triển đã được xác minh, có lịch sử lâu dài.
- Tránh tải phần mềm từ các trang chia sẻ lậu.
- Ưu tiên sử dụng ví phần cứng cho khoản đầu tư dài hạn và chỉ mua từ website chính thức của nhà sản xuất.
- Hạn chế sử dụng ví điện tử dạng tiện ích trình duyệt; thay vào đó, nên dùng ứng dụng chính thức.
Trong bối cảnh tội phạm mạng ngày càng tinh vi, việc nâng cao cảnh giác và tuân thủ các nguyên tắc bảo mật là yếu tố sống còn để bảo vệ tài sản số.



