Liên hệ
EncryptHub Nhắm Mục Tiêu Nhà Phát Triển Web3 Bằng Cách Sử Dụng Các Nền Tảng AI Giả Mạo Để Triển Khai Phần Mềm Độc Hại Fickle Stealer

EncryptHub Nhắm Mục Tiêu Nhà Phát Triển Web3 Bằng Cách Sử Dụng Các Nền Tảng AI Giả Mạo Để Triển Khai Phần Mềm Độc Hại Fickle Stealer

  • 11:42 pm

Nhóm tin tặc có động cơ tài chính mang tên EncryptHub (hay còn gọi là LARVA-208 và Water Gamayun) vừa bị phát hiện thực hiện một chiến dịch mới nhắm vào các nhà phát triển Web3. Mục đích của chúng là lây nhiễm phần mềm độc hại đánh cắp thông tin.

Công ty an ninh mạng PRODAFT của Thụy Sĩ cho biết: “LARVA-208 đã thay đổi chiến thuật, sử dụng các nền tảng AI giả mạo (ví dụ: Norlax AI, bắt chước Teampilot) để dụ dỗ nạn nhân bằng lời mời làm việc hoặc yêu cầu đánh giá hồ sơ năng lực.”

Mặc dù nhóm này từng có tiền sử sử dụng ransomware, nhưng những phát hiện mới nhất cho thấy chúng đã phát triển chiến thuật và đa dạng hóa các phương pháp kiếm tiền bằng cách sử dụng phần mềm độc hại đánh cắp dữ liệu từ ví tiền điện tử.

Việc EncryptHub tập trung vào các nhà phát triển Web3 không phải là ngẫu nhiên. Những người này thường quản lý ví tiền điện tử, truy cập vào kho lưu trữ hợp đồng thông minh hoặc các môi trường thử nghiệm nhạy cảm. Nhiều người làm việc tự do hoặc làm việc trên nhiều dự án phi tập trung, khiến họ khó được bảo vệ bằng các biện pháp kiểm soát bảo mật doanh nghiệp truyền thống. Cộng đồng các nhà phát triển phi tập trung, giá trị cao này là một mục tiêu lý tưởng cho những kẻ tấn công muốn kiếm tiền nhanh chóng mà không kích hoạt các biện pháp phòng thủ tập trung.

Chuỗi tấn công bao gồm việc dẫn dụ các mục tiêu tiềm năng đến các nền tảng trí tuệ nhân tạo (AI) lừa đảo và lừa họ nhấp vào các liên kết cuộc họp được cho là có trong các trang web này.

Các liên kết cuộc họp đến các trang web này được gửi đến các nhà phát triển theo dõi nội dung liên quan đến Web3 và Blockchain thông qua các nền tảng như X và Telegram dưới vỏ bọc phỏng vấn xin việc hoặc thảo luận về danh mục đầu tư. Những kẻ tấn công cũng đã được tìm thấy gửi các liên kết cuộc họp cho những người đã ứng tuyển vào các vị trí do chúng đăng trên một bảng việc làm Web3 có tên là Remote3.

Điều thú vị là cách tiếp cận được những kẻ tấn công sử dụng để lách các cảnh báo bảo mật do Remote3 đưa ra trên trang web của họ. Do dịch vụ này cảnh báo rõ ràng những người tìm việc không nên tải xuống phần mềm hội nghị truyền hình không quen thuộc, những kẻ tấn công sẽ thực hiện một cuộc trò chuyện ban đầu qua Google Meet, trong đó chúng hướng dẫn người nộp đơn tiếp tục cuộc phỏng vấn trên Norlax AI.

Bất kể phương pháp nào được sử dụng, sau khi nạn nhân nhấp vào liên kết cuộc họp, họ sẽ được yêu cầu nhập địa chỉ email và mã mời của mình, sau đó họ sẽ nhận được một thông báo lỗi giả về trình điều khiển âm thanh đã lỗi thời hoặc bị thiếu.

Nhấp vào thông báo sẽ dẫn đến việc tải xuống phần mềm độc hại được ngụy trang dưới dạng Trình điều khiển âm thanh HD Realtek chính hãng, thực thi các lệnh PowerShell để truy xuất và triển khai Fickle Stealer. Thông tin do phần mềm độc hại đánh cắp được thu thập sẽ được truyền đến một máy chủ bên ngoài có tên mã là SilentPrism.

PRODAFT cho biết: “Những kẻ tấn công phát tán các trình đánh cắp thông tin như Fickle thông qua các ứng dụng AI giả mạo, thu thập thành công ví tiền điện tử, thông tin xác thực phát triển và dữ liệu dự án nhạy cảm”.

“Hoạt động mới nhất này cho thấy sự thay đổi theo hướng các chiến lược kiếm tiền thay thế, bao gồm việc đánh cắp dữ liệu và thông tin đăng nhập có giá trị để bán lại hoặc khai thác trên các thị trường bất hợp pháp tiềm năng.”

Sự phát triển này diễn ra khi Trustwave SpiderLabs tiết lộ một ransomware mới có tên là KAWA4096 “theo phong cách của nhóm ransomware Akira và định dạng ghi chú tiền chuộc tương tự như Qilin’s, có khả năng là một nỗ lực để làm giàu thêm khả năng hiển thị và uy tín của chúng.”

KAWA4096, lần đầu tiên xuất hiện vào tháng 6 năm 2025, được cho là đã nhắm mục tiêu vào 11 công ty, với số lượng mục tiêu lớn nhất nằm ở Hoa Kỳ và Nhật Bản. Véc tơ truy cập ban đầu được sử dụng trong các cuộc tấn công không được biết đến.

Một tính năng đáng chú ý của KAWA4096 là khả năng mã hóa các tệp trên các ổ đĩa mạng dùng chung và việc sử dụng đa luồng để tăng hiệu quả hoạt động và tăng tốc quá trình quét và mã hóa.

Các nhà nghiên cứu bảo mật Nathaniel Morales và John Basmayor cho biết: “Sau khi xác định các tệp hợp lệ, ransomware sẽ thêm chúng vào một hàng đợi dùng chung”. “Hàng đợi này được xử lý bởi một nhóm các luồng công nhân, mỗi luồng chịu trách nhiệm truy xuất đường dẫn tệp và chuyển nó cho quy trình mã hóa. Một semaphore được sử dụng để đồng bộ hóa giữa các luồng, đảm bảo xử lý hiệu quả hàng đợi tệp.”

Một người mới khác tham gia vào bối cảnh ransomware là Crux, tuyên bố là một phần của nhóm BlackByte và đã được triển khai trong tự nhiên trong ba sự cố được phát hiện vào ngày 4 và 13 tháng 7 năm 2025, theo Huntress.

Trong một trong các sự cố, những kẻ tấn công đã được phát hiện tận dụng thông tin đăng nhập hợp lệ thông qua RDP để có được chỗ đứng trong mạng mục tiêu. Điểm chung của tất cả các cuộc tấn công là việc sử dụng các công cụ Windows hợp pháp như svchost.exe và bcdedit.exe để che giấu các lệnh độc hại và sửa đổi cấu hình khởi động để ngăn chặn việc khôi phục hệ thống.

Huntress cho biết: “Kẻ tấn công cũng có một sự ưu tiên rõ ràng đối với các quy trình hợp pháp như bcdedit.exe và svchost.exe, vì vậy việc liên tục giám sát hành vi đáng ngờ bằng cách sử dụng các quy trình này thông qua phát hiện và phản hồi điểm cuối (EDR) có thể giúp phát hiện những kẻ tấn công trong môi trường của bạn”.

Giải thích thuật ngữ:

  • Web3: Thế hệ thứ ba của internet, tập trung vào tính phi tập trung, công nghệ blockchain và tiền điện tử.
  • Ransomware: Một loại phần mềm độc hại mã hóa dữ liệu của nạn nhân và yêu cầu tiền chuộc để khôi phục.
  • Infostealer: Phần mềm độc hại được thiết kế để đánh cắp thông tin nhạy cảm như mật khẩu, thông tin thẻ tín dụng và dữ liệu cá nhân.
  • Blockchain: Một sổ cái kỹ thuật số phân tán, an toàn và minh bạch, được sử dụng để ghi lại các giao dịch trên nhiều máy tính.
  • Hợp đồng thông minh: Các hợp đồng tự động thực thi được viết bằng mã và được lưu trữ trên blockchain.
  • Ví tiền điện tử: Phần mềm hoặc thiết bị phần cứng cho phép người dùng lưu trữ, gửi và nhận tiền điện tử.
  • RDP (Remote Desktop Protocol): Một giao thức cho phép người dùng kết nối và điều khiển một máy tính từ xa.
  • EDR (Endpoint Detection and Response): Một hệ thống bảo mật giám sát các thiết bị điểm cuối (như máy tính và máy chủ) để phát hiện và ứng phó với các mối đe dọa.

Chia sẻ với

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest

Bài viết liên quan

Thực thi mã qua Email: Cách tôi dùng Claude để hack chính nó

Bạn không phải lúc nào cũng cần một ứng dụng có lỗ hổng để thực hiện thành công một cuộc …

EncryptHub Nhắm Mục Tiêu Nhà Phát Triển Web3 Bằng Cách Sử Dụng Các Nền Tảng AI Giả Mạo Để Triển Khai Phần Mềm Độc Hại Fickle Stealer

Nhóm tin tặc có động cơ tài chính mang tên EncryptHub (hay còn gọi là LARVA-208 và Water Gamayun) vừa …

Bảo vệ AI Agent: Cách bảo vệ quyền truy cập danh tính vô hình

Các AI Agent hứa hẹn sẽ tự động hóa mọi thứ, từ đối chiếu tài chính đến ứng phó sự …

Sao Lưu Chat Mã Hóa: Hướng Dẫn Từ Signal, WhatsApp, Apple và Google

Các ứng dụng trò chuyện được mã hóa như Signal và WhatsApp là một trong những cách tốt nhất để …