Bắt giữ những kẻ trộm tài khoản Roblox gần Lviv, hack trình lập lịch của Trung Quốc nhằm mục đích khai thác tiền điện tử và các sự kiện an ninh mạng khác - ForkLog: tiền điện tử, AI, siêu đặc, tương lai

# Tin tức về việc bắt giữ những kẻ trộm tài khoản Roblox tại Lviv, hack trình lập lịch của Trung Quốc nhằm mục đích khai thác tiền điện tử và các sự kiện an ninh mạng khác

Chúng tôi đã tổng hợp những tin tức quan trọng nhất trong lĩnh vực an ninh mạng trong tuần.

• Cơ quan thực thi pháp luật đã tiến hành các hoạt động chống lại các trung tâm lừa đảo ở châu Âu, UAE và Thái Lan.
• Các chuyên gia phát hiện bộ công cụ phishing tích hợp AI.
• Hacker từ Drohobych đã bán dữ liệu người chơi Roblox với giá gần 10 triệu hryvnia.
• Lỗi nghiêm trọng trong phần mềm của phần mềm đòi tiền chuộc dẫn đến mất dữ liệu không thể khôi phục.

Cơ quan thực thi pháp luật đã tiến hành các hoạt động chống lại các trung tâm lừa đảo ở châu Âu, UAE và Thái Lan

Trong một chiến dịch phối hợp, các cơ quan thực thi pháp luật của Mỹ, Trung Quốc, UAE và Thái Lan đã ngăn chặn hoạt động của chín trung tâm lừa đảo tiền điện tử và bắt giữ 276 nghi phạm. Báo cáo về việc này đã được Bộ Tư pháp Hoa Kỳ công bố.

Những người bị bắt ở UAE và Thái Lan đã sử dụng các sơ đồ “giết lợn”. Sau khi đồng ý của nạn nhân, họ mất quyền truy cập vào tiền điện tử đã đầu tư. Các tội phạm cũng thuyết phục nạn nhân vay tiền từ người thân và vay ngân hàng.

Công dân Myanmar Tet Min Nyi bị buộc tội âm mưu lừa đảo và rửa tiền. Theo điều tra, anh ta là quản lý và tuyển dụng trong một tổ chức tội phạm được biết đến với tên gọi Ko Thet Company. Các thành viên của nhóm Sanduo Group và Giant Company cũng đang chờ xét xử.

Ở châu Âu, trong tuần qua, đã triệt phá một mạng lưới lừa đảo được cho là đã gây thiệt hại hơn 50 triệu euro cho các nạn nhân trên toàn thế giới.

Chiến dịch phối hợp của Europol và Eurojust bắt đầu từ tháng 6 năm 2023 đã dẫn đến việc bắt giữ 10 nghi phạm, cũng như khám xét tại ba trung tâm cuộc gọi và chín nhà riêng tư tại Áo và Albania.

Trung tâm lừa đảo tại Tirana. Nguồn: Europol. Theo điều tra, các nạn nhân bị dụ dỗ vào các nền tảng đầu tư giả mạo qua quảng cáo trên các công cụ tìm kiếm và mạng xã hội. Thực tế, số tiền này được chuyển vào một sơ đồ rửa tiền quốc tế. Trong các trường hợp lừa đảo thứ cấp, tội phạm liên hệ lại với “khách hàng”, đề nghị giúp khôi phục tài sản đã mất. Người dùng bị yêu cầu nộp thêm 500 euro dưới dạng tiền điện tử như phí gia nhập.

Mạng lừa đảo này đã được đăng ký hợp pháp với 450 nhân viên. Các operator làm việc theo nhóm từ sáu đến tám người, phân chia theo ngôn ngữ, và nhận lương hàng tháng khoảng 800 euro cùng các khoản thưởng.

Các chuyên gia phát hiện bộ công cụ phishing tích hợp AI

Các chuyên gia an ninh mạng của Varonis đã phát hiện bộ công cụ phishing mang tên Bluekit. Nó cung cấp cho kẻ tấn công hơn 40 mẫu, mô phỏng các dịch vụ phổ biến, cùng với trợ lý AI tích hợp để tạo các bản nháp chiến dịch độc hại.

Bộ công cụ cung cấp các script nhắm vào email (Outlook, Hotmail, Gmail, Yahoo, ProtonMail), iCloud, GitHub và ví tiền điện tử Ledger.

Điểm đặc biệt của Bluekit là bảng điều khiển AI Assistant, hỗ trợ nhiều mô hình AI như Llama, GPT-4.1, Claude, Gemini và DeepSeek. Công cụ này giúp tội phạm mạng soạn các email phishing.

Theo Varonis, chức năng này đang trong giai đoạn thử nghiệm. Bản nháp tấn công thử nghiệm có cấu trúc hữu ích, nhưng chứa các trường chung cho liên kết, placeholder cho mã QR và văn bản cần chỉnh sửa trước khi sử dụng.

Nguồn: Varonis. Ngoài AI, Bluekit tích hợp trong một bảng điều khiển quản lý toàn bộ chu trình tấn công:

• đăng ký tên miền. Mua và cấu hình địa chỉ trực tiếp từ giao diện;
• quản lý chiến dịch. Tạo các trang phishing với thiết kế chân thực và logo của các thương hiệu nổi tiếng như Zara, Zoho và Ledger;
• cấu hình tinh vi. Chặn lưu lượng qua VPN và proxy, loại bỏ các hệ thống phân tích tự động và cài đặt bộ lọc dựa trên dấu vân tay kỹ thuật số của thiết bị;
• chặn dữ liệu. Truyền dữ liệu bị đánh cắp qua Telegram đến các kênh riêng tư của hacker.

Nguồn: Varonis. Nền tảng cho phép theo dõi các phiên của nạn nhân theo thời gian thực, bao gồm cookie, lưu trữ cục bộ và trạng thái phiên hoạt động sau khi đăng nhập. Điều này giúp hacker điều chỉnh các cuộc tấn công để đạt hiệu quả tối đa.

Theo các chuyên gia, mặc dù sản phẩm đang trong giai đoạn phát triển tích cực, nhưng nó đang tiến triển nhanh chóng và có thể phổ biến rộng rãi.

Hacker từ Drohobych bán dữ liệu người chơi Roblox trị giá gần 10 triệu hryvnia

Cơ quan thực thi pháp luật tại Lviv đã bắt giữ các hacker đã trộm tài khoản Roblox trị giá 10 triệu hryvnia, theo Văn phòng Tổng công tố Ukraine.

Theo điều tra, ba cư dân Drohobych đã quảng bá các phần mềm giả mạo dưới dạng công cụ nâng cao trải nghiệm chơi game. Nhờ phần mềm độc hại, hacker có thể truy cập dữ liệu của nạn nhân.

Nguồn: Văn phòng Tổng công tố Ukraine. Các dữ liệu truy cập thu được đã được kiểm tra bằng một chương trình đặc biệt (checker), hiển thị nội dung tài khoản. Từ tháng 10 năm 2025 đến tháng 1 năm 2026, hơn 610.000 tài khoản đã được lọc ra theo cách này để tìm những tài khoản giá trị nhất. Dữ liệu sau đó được bán lấy tiền điện tử trên các trang web của Nga.

Kết quả là, các cơ quan thực thi pháp luật đã khám xét 10 địa điểm, thu giữ thiết bị, ghi âm, hơn 2.500 euro và khoảng 35.000 USD. Các nghi phạm bị cáo buộc tội trộm cắp và tội phạm mạng.

Lỗi nghiêm trọng trong phần mềm đòi tiền chuộc dẫn đến mất dữ liệu không thể khôi phục

Các chuyên gia của Check Point đã phát hiện ra một lỗi nghiêm trọng trong cơ chế xử lý số nonce dùng một lần trong phần mềm đòi tiền chuộc VECT 2.0. Thay vì mã hóa, lỗi này dẫn đến việc dữ liệu bị phá hủy mà không thể khôi phục.

Vấn đề nằm ở cách VECT 2.0 xử lý các tệp lớn hơn 128 KB. Để tăng tốc, phần mềm chia các đối tượng thành bốn phần và mã hóa riêng biệt. Tuy nhiên, lỗi trong logic lập trình dẫn đến hậu quả thảm khốc:

1. Tất cả các phần của tệp đều dùng cùng một bộ đệm bộ nhớ để xuất nonce. Mỗi khóa mới được tạo sẽ ghi đè lên khóa cũ.
2. Kết quả là chỉ còn lại một phần của tệp, được ghi ra đĩa.
3. Chỉ có thể khôi phục 25% cuối cùng của tệp. Ba phần đầu không thể giải mã vì các số nonce duy nhất cần thiết đã bị mất vĩnh viễn trong quá trình hoạt động.

Ngay cả khi nạn nhân trả tiền chuộc, hacker cũng không thể giải mã dữ liệu vì nonce đã bị xóa không gửi về máy chủ của hacker.

Các nhà nghiên cứu nhấn mạnh rằng ngưỡng 128 KB là quá nhỏ. Hầu hết các dữ liệu quan trọng của doanh nghiệp đều nằm dưới ngưỡng này:

• hình ảnh máy ảo;
• cơ sở dữ liệu và bản sao lưu;
• tài liệu văn phòng, bảng tính và hộp thư.

Điều này biến phần mềm độc hại từ một phần mềm đòi tiền chuộc thành một phần mềm tiêu hủy dữ liệu (wiper), khiến việc trả tiền chuộc trở nên vô nghĩa. Lỗi này xuất hiện trong tất cả các phiên bản của VECT 2.0 — dành cho Windows, Linux và ESXi.

Tên sai lệch của thuật toán mã hóa trong quảng cáo của phần mềm đòi tiền chuộc. Nguồn: Check Point. Theo các chuyên gia, VECT đã được quảng bá mạnh mẽ trên nền tảng hacker BreachForums. Các operator đã mời người dùng trở thành đối tác và gửi khóa truy cập qua tin nhắn riêng.

Sau đó, nhóm đã công bố hợp tác với TeamPCP — đội đã thực hiện các cuộc tấn công gần đây vào chuỗi cung ứng Trivy, LiteLLM, Telnyx, cũng như vào Ủy ban châu Âu. Mục tiêu của liên minh là sử dụng các nạn nhân để triển khai phần mềm đòi tiền chuộc.

Hacker xâm nhập trình lập lịch Qinglong để khai thác tiền điện tử

Các hacker đã khai thác hai lỗ hổng vượt qua xác thực trong trình lập lịch Qinglong để bí mật khai thác tiền điện tử trên các máy chủ của nhà phát triển. Thông tin này được các chuyên gia an ninh mạng của Snyk xác nhận.

Qinglong là nền tảng quản lý tác vụ mã nguồn mở dựa trên Python/JS, phổ biến trong cộng đồng nhà phát triển Trung Quốc.

Chuỗi lây nhiễm để thực thi mã từ xa ảnh hưởng đến các phiên bản Qinglong từ 2.20.1 trở lên.

Theo các chuyên gia, nguyên nhân chính của các lỗ hổng nằm ở việc không phù hợp trong logic xác thực trung gian của phần mềm và hành vi định tuyến của framework web Express.js. Mức độ xác thực giả định rằng các mẫu URL nhất định luôn được xử lý theo cùng một cách, trong khi Express.js lại sử dụng cách khác.

Theo Snyk, chiến dịch của hacker bắt đầu từ ngày 7 tháng 2 năm 2026. Người dùng Qinglong là những người đầu tiên phát hiện ra quá trình độc hại ẩn tên là .FULLGC. Để tránh bị phát hiện, tên của nó mô phỏng các tác vụ tiêu tốn tài nguyên tiêu chuẩn.

Miner sử dụng 85–100% công suất CPU và nhắm vào các hệ thống Linux, ARM64 và macOS. Các nhà phát triển của Qinglong đã sửa lỗi trong PR 2941.

Xem thêm trên ForkLog:

• Tháng 4 phá kỷ lục về số vụ hack trong ngành công nghiệp crypto.
• Hacker rút hơn 5 triệu USD khỏi giao thức Wasabi.
• ZetaChain tiết lộ chi tiết về cuộc tấn công cross-chain trị giá 334.000 USD.
• Hacker tấn công giao thức DeFi Scallop.
• Trong Litecoin, đã tổ chức lại các khối do lỗi zero-day.

Những điều nên đọc cuối tuần?

Dành riêng cho những ai bỏ lỡ những tin quan trọng nhất trong tháng, ForkLog đã chuẩn bị một tổng quan ngắn gọn.