Hơn 40 tiện ích mở rộng ví giả mạo trên trình duyệt bị phát hiện là mối đe dọa phần mềm độc hại

Công ty an ninh mạng Koi đã phát hiện hơn 40 tiện ích ví giả đã xuất hiện trên cửa hàng tiện ích trình duyệt Firefox. Chúng lừa nạn nhân bằng cách giả danh các công ty ví lớn.

Theo bài viết gần đây từ công ty bảo mật Koi, các tin tặc đã tiến hành một chiến dịch quy mô lớn bao gồm hàng chục tiện ích ví tiền mã hóa giả được bán thông qua các cửa hàng tiện ích.

Những ví giả này được thiết kế để giả mạo và thậm chí sao chép chính xác các nền tảng ví số phổ biến, bao gồm Coinbase, MetaMask, OKX, Bitget, Ví Ethereum (ETH) và nhiều nền tảng khác. Khi tiện ích được cài đặt, phần mềm độc hại sẽ có thể truy cập vào ví người dùng bằng cách đánh cắp thông tin đăng nhập ví của họ.

“Tính đến nay, chúng tôi đã liên kết được hơn 40 tiện ích khác nhau với chiến dịch này, mà vẫn đang tiếp diễn và rất sôi động,” công ty an ninh viết trong thông báo của họ.

Công ty cho biết một số tiện ích giả vẫn có sẵn để tải về trên thị trường trình duyệt. Koi ước tính chiến dịch này vẫn “hoạt động, bền bỉ và không ngừng phát triển,” với hoạt động cuối cùng được ghi nhận là mới tuần trước.

Bạn cũng có thể quan tâm: Cisco Talos: Nhóm đe dọa Bắc Triều Tiên mới ‘PylangGhost’ nhắm mục tiêu vào các nhân viên tiền mã hóa qua các trang web việc làm giả

Các ví giả đánh cắp thông tin đăng nhập người dùng như thế nào?

Các tiện ích ví giả trích xuất thông tin đăng nhập người dùng trực tiếp qua các trang web mà chúng nhắm đến và truyền chúng đến máy chủ từ xa do tin tặc kiểm soát. Chúng cũng có thể sử dụng phương thức xâm nhập này để phát hiện địa chỉ IP bên ngoài của người dùng, có thể để theo dõi hoặc nhắm mục tiêu vào các thiết bị khác của họ.

Khi được hiển thị trên cửa hàng tiện ích trình duyệt, các ví giả mô phỏng gần như hoàn hảo các nền tảng ví lớn; chúng sử dụng tên và biểu tượng giống hệt với dịch vụ mà chúng đang giả mạo để giành được lòng tin của người dùng.

Để khiến tiện ích ví giả trông hợp lệ đối với người xem bình thường, tin tặc sử dụng một chiến thuật gọi là tăng cường đánh giá. Nhiều tiện ích độc hại có hàng trăm đánh giá 5 sao giả, vượt xa số lượng người dùng thực tế của chúng.

Chiến thuật này khiến tiện ích ví giả trông được sử dụng rộng rãi và có đánh giá tích cực, như thể nó là thật.

Trong một số trường hợp, Koi phát hiện rằng các tác nhân xấu đã lợi dụng sự thật rằng các tiện ích gốc là mã nguồn mở. Do đó, họ có thể sao chép cơ sở mã và thêm mã độc của riêng họ vào đó.

“Phương pháp này ít công sức nhưng mang lại hiệu quả cao giúp kẻ tấn công duy trì trải nghiệm người dùng mong đợi đồng thời giảm khả năng bị phát hiện ngay lập tức,” Koi viết.

Tuy nhiên, người dùng có thể tìm kiếm các dấu hiệu cho thấy tiện ích mà họ muốn tải xuống thực sự là giả. Những dấu hiệu này bao gồm các bình luận trong mã tiện ích được viết bằng tiếng Nga, và các dữ liệu siêu dữ liệu đáng ngờ được tìm thấy trong tệp PDF lấy từ máy chủ lệnh trong quá trình hoạt động.

Người dùng có thể an toàn khỏi các cuộc tấn công ví giả bằng cách chỉ cài đặt tiện ích từ các nhà phát hành được xác minh và sử dụng danh sách cho phép tiện ích để giới hạn cài đặt chỉ những tiện ích được phê duyệt và kiểm tra trước.

Gần đây, tin tặc đang ngày càng sáng tạo hơn trong các cách xâm nhập ví tiền mã hóa của người dùng, từ các trang web tìm việc giả đến tiện ích máy in. Thực tế, theo một cuộc khảo sát của NASAA, lừa đảo tiền mã hóa và mạng xã hội được coi là mối đe dọa hàng đầu đối với các nhà đầu tư bán lẻ vào năm 2025.

Đọc thêm: Lừa đảo tiền mã hóa và mạng xã hội đứng đầu danh sách rủi ro nhà đầu tư năm 2025 của NASAA