Người dùng Cardano bị nhắm đến bởi các vụ lừa đảo qua mạng phân phối phần mềm độc hại cho ví tiền điện tử

Các hacker đang nhắm vào người dùng Cardano bằng các chiến dịch lừa đảo tinh vi, nhằm cấy mã độc vào ví của họ. Những kẻ tấn công này sử dụng các phương pháp như gửi email giả mạo, trang web giả mạo hoặc phần mềm độc hại để lấy cắp thông tin đăng nhập và tài sản kỹ thuật số của người dùng. Người dùng cần cảnh giác và luôn kiểm tra tính xác thực của các liên kết và phần mềm trước khi tải xuống hoặc cung cấp thông tin cá nhân.

### Các biện pháp phòng tránh:
- Không nhấp vào các liên kết đáng ngờ
- Sử dụng xác thực hai yếu tố
- Cập nhật phần mềm và ví của bạn thường xuyên
- Chỉ tải xuống phần mềm từ các nguồn chính thức

Hãy bảo vệ tài sản của bạn khỏi các mối đe dọa mạng!

Các chủ sở hữu Cardano đang đối mặt với mối đe dọa an ninh ngày càng gia tăng khi tội phạm mạng triển khai chiến dịch lừa đảo phishing tinh vi giả mạo ví Eternl Desktop. Chương trình này kết hợp email chuyên nghiệp, các ưu đãi tiền mã hóa giả mạo và phần mềm độc hại ẩn để xâm phạm hệ thống người dùng. Các nhà nghiên cứu an ninh đã phát hiện ra rằng các nạn nhân tải xuống ví giả nhận được trình cài đặt độc hại chứa Trojan truy cập từ xa, cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống mà không cần phép.

Cách hoạt động của Chiến dịch Lừa đảo Phishing

Cuộc tấn công bắt đầu bằng các email phishing thuyết phục giả mạo các thông báo chính thức từ Eternl Desktop. Kẻ tấn công tuyên bố giới thiệu các tính năng mới như hỗ trợ staking Cardano cải tiến và tích hợp quản trị. Các tin nhắn giả mạo này hứa hẹn các phần thưởng hấp dẫn bao gồm token NIGHT và ATMA, tạo cảm giác cấp bách và khuyến khích người dùng tải xuống ví “cập nhật” ngay lập tức.

Các email hướng người dùng đến trang web download(dot)eternldesktop(dot)network, một tên miền mới đăng ký mô phỏng trang web chính thức của Eternl. Theo nhà nghiên cứu mối đe dọa Anurag, kẻ tấn công sao chép cẩn thận ngôn ngữ và các yếu tố thiết kế từ các thông báo chính thức của Eternl, thêm vào đó các tính năng giả mạo như quản lý khóa cục bộ và khả năng tương thích ví phần cứng. Chiến dịch lừa đảo thể hiện sự thực thi chuyên nghiệp — email không chứa lỗi chính tả và sử dụng thuật ngữ trang trọng, khiến cho trò lừa dễ bị đánh lừa bởi người dùng không cảnh giác.

Mỗi tin nhắn đều chứa liên kết tải xuống tệp trình cài đặt MSI chứa Trojan. Tệp này vượt qua các cơ chế xác minh an ninh tiêu chuẩn và thiếu chữ ký số hợp lệ để xác nhận tính hợp pháp. Khi người dùng chạy trình cài đặt, họ vô tình kích hoạt payload độc hại đã được nhúng bên trong.

Trình cài đặt độc hại cung cấp Trojan truy cập từ xa

Trình cài đặt độc hại, tên là Eternl.msi (băm tệp: 8fa4844e40669c1cb417d7cf923bf3e0), tích hợp công cụ LogMeIn Resolve nguy hiểm. Khi chạy, trình cài đặt triển khai một tệp thực thi tên là unattended updater.exe, thực chất là thành phần GoToResolveUnattendedUpdater.exe.

Tệp thực thi này duy trì tính liên tục trên máy nạn nhân bằng cách tạo thư mục trong Program Files và ghi nhiều tệp cấu hình, bao gồm unattended.json và pc.json. Tệp unattended.json đặc biệt nguy hiểm — nó kích hoạt khả năng truy cập từ xa một cách âm thầm mà không có sự nhận thức hoặc đồng ý của người dùng. Khi được kích hoạt, hệ thống bị nhiễm trở nên hoàn toàn kiểm soát bởi kẻ tấn công.

Phân tích lưu lượng mạng xác nhận phần mềm độc hại liên lạc với hạ tầng command-and-control của GoToResolve đã biết, cụ thể là các thiết bị-iot.console.gotoresolve.com và dumpster.console.gotoresolve.com. Phần mềm độc hại truyền tải thông tin hệ thống dưới dạng JSON và duy trì các kết nối liên tục, cho phép các mối đe dọa ra lệnh từ xa. Nạn nhân không có dấu hiệu hệ thống bị xâm phạm cho đến khi kẻ tấn công khai thác quyền truy cập.

So sánh với các Chiến dịch Lừa đảo Meta trước đó

Chiến dịch tấn công ví Cardano này theo mô hình tương tự như các chiến dịch phishing trước đây nhắm vào người dùng doanh nghiệp Meta. Trong chiến dịch đó, nạn nhân nhận email cáo buộc tài khoản quảng cáo vi phạm quy định của EU. Các tin nhắn sử dụng thương hiệu Meta và ngôn ngữ chính thức để tạo độ tin cậy giả mạo.

Nhấp vào liên kết dẫn người dùng đến trang giả mạo Meta Business Manager hiển thị cảnh báo khẩn về việc tạm ngưng tài khoản. Người dùng được yêu cầu nhập thông tin đăng nhập để “khôi phục” quyền truy cập. Một trò chuyện hỗ trợ giả mạo sau đó hướng dẫn nạn nhân qua quá trình khôi phục tài khoản, nhưng thực chất là thu thập thông tin xác thực của họ.

Cấu trúc tương tự — cấp bách, giả mạo, trang đích giả mạo, và thu thập thông tin đăng nhập — cho thấy kẻ tấn công tái sử dụng các chiến thuật xã hội tinh vi hiệu quả trên các nhóm đối tượng khác nhau. Dù nhắm vào người dùng tiền mã hóa hay quản lý doanh nghiệp, phương pháp lừa đảo phishing vẫn giữ nguyên: tạo ra sự giả hợp pháp, gây áp lực, và khai thác lòng tin của người dùng.

Cách phòng chống các cuộc tấn công giả mạo Ví

Các chuyên gia an ninh và nhà phát triển ví khuyên người dùng áp dụng các biện pháp phòng thủ chống lừa đảo phishing. Luôn tải phần mềm ví chỉ từ các trang web chính thức của dự án hoặc các cửa hàng ứng dụng đã xác thực. Các tên miền mới đăng ký cực kỳ rủi ro — xác minh tuổi tên miền và chi tiết chứng chỉ SSL trước khi tin tưởng vào một trang web.

Hãy hoài nghi với các email không mong muốn quảng bá cập nhật ví hoặc cung cấp phần thưởng token bất ngờ. Các dự án ví chính thống hiếm khi phân phối phần mềm qua các chiến dịch phishing, và các bản cập nhật xác thực thường xuất hiện qua các kênh chính thức. Kiểm tra kỹ địa chỉ email người gửi, vì các địa chỉ giả mạo đôi khi chứa các ký tự thay thế tinh vi.

Bật xác thực hai yếu tố trên các tài khoản sàn giao dịch tiền mã hóa và các email quan trọng liên kết với ví. Lớp bảo vệ này ngăn chặn truy cập trái phép ngay cả khi thông tin đăng nhập bị xâm phạm. Giữ phần mềm chống virus và chống phần mềm độc hại luôn được cập nhật để phát hiện các Trojan đã biết như các biến thể LogMeIn Resolve.

Cuối cùng, nếu bạn đã tải xuống bất kỳ ứng dụng ví đáng ngờ nào, hãy ngắt kết nối máy tính khỏi mạng ngay lập tức và chạy quét phần mềm độc hại toàn diện. Báo cáo các email phishing khả nghi tới đội ngũ bảo mật của dự án chính thức. Bằng cách duy trì cảnh giác với các kỹ thuật lừa đảo phishing và xác minh tính hợp lệ ở mọi bước, người dùng Cardano có thể giảm thiểu đáng kể khả năng bị tấn công bởi các mối đe dọa ngày càng tinh vi này.