Công ty bảo mật blockchain SlowMist đã tiết lộ cuộc tấn công lừa đảo mới liên quan đến ứng dụng Skype giả mạo để đánh cắp tiền điện tử từ một nạn nhân thiếu cảnh giác.
Nạn nhân đã liên hệ trực tiếp với SlowMist, giải thích tiền của anh ta bị đánh cắp sau khi tải xuống ứng dụng mà anh nghĩ là Skype từ internet. Trong báo cáo của mình, SlowMist cho biết vụ lừa đảo này nhấn mạnh lỗ hổng mà người dùng phải đối mặt, đặc biệt là ở các khu vực như Trung Quốc, nơi tải xuống trực tiếp thay vì từ các cửa hàng ứng dụng chính thức do không có sẵn.
“Do không thể truy cập Google Play ở Trung Quốc, nhiều người dùng thường tìm kiếm và tải ứng dụng trực tiếp từ internet. Tuy nhiên, các loại ứng dụng giả mạo có sẵn trực tuyến không chỉ giới hạn ở ví và sàn giao dịch. Các ứng dụng truyền thông xã hội như Telegram, WhatsApp và Skype cũng là mục tiêu bị nhắm tới rất nhiều”.
Cuộc điều tra sau đó của SlowMist đã tiết lộ một số dấu hiệu nguy hiểm, như ngày chứng chỉ của ứng dụng có hiệu lực cho thấy nó mới được tạo vào tháng 9 và thông tin chữ ký chỉ ra nguồn gốc từ Trung Quốc. SlowMist lưu ý tìm kiếm trên Baidu cho ra nhiều nguồn chứa ứng dụng giả mạo phù hợp với nguồn do nạn nhân cung cấp.
Ứng dụng giả đã đánh cắp tiền điện tử như thế nào?
Ứng dụng Skype giả được ngụy trang giống như công cụ trò chuyện video thật và được cài code độc hại để theo dõi và tải lên các tệp cũng như hình ảnh từ thiết bị của người dùng nhằm thu thập thông tin nhạy cảm.
SlowMist cho biết, vì các ứng dụng như Skype được sử dụng để truyền tệp và thực hiện cuộc gọi nên người dùng thường không nghi ngờ hoạt động này, cho phép kẻ tấn công lấy được quyền của người dùng để tải tệp lên, cũng như thông tin thiết bị, ID người dùng và số điện thoại.
Cụ thể hơn, ứng dụng Skype giả mạo sẽ giám sát các tin nhắn đến và đi để xem có chứa địa chỉ blockchain Ethereum hoặc Tron hay không. Nếu tìm thấy thông tin, những kẻ tấn công sẽ thay thế chúng bằng các địa chỉ độc hại động và được hardcode nhằm cố gắng định tuyến bất kỳ khoản thanh toán nào vào túi của chúng.
Team SlowMist phát hiện một trong những địa chỉ Tron độc hại được sử dụng đã nhận gần 200.000 USDT (200.000 đô la) qua 110 giao dịch gửi tiền, gần đây nhất là vào ngày 8/11. Họ cũng xác định được một địa chỉ Ethereum đã nhận 7.800 USDT trong 10 giao dịch được chuyển ra ngoài bằng dịch vụ swap của BitKeep, với phí giao dịch được lấy từ OKX.
Tuy nhiên, backend của giao diện phishing hiện đã bị ngừng và không còn trả về các địa chỉ độc hại nữa, SlowMist lưu ý.
Kết nối ứng dụng giả mạo Binance
Đáng chú ý, tên miền phishing được liên kết với ứng dụng này ban đầu đã mạo danh sàn giao dịch Binance trước khi chuyển sang bắt chước backend của Skype vào tháng 5. Một loạt tên miền giả mạo sử dụng định dạng “bn-download[number].com” đã được sử dụng chuyên cho các cuộc tấn công phishing trên ứng dụng giả mạo Binance, cho thấy nhóm này đang tập trung chung vào lĩnh vực web3 béo bở.
SlowMist khuyên người dùng chỉ nên sử dụng các kênh tải xuống ứng dụng chính thức và nâng cao nhận thức về bảo mật để giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công phishing như vậy.
Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn
Theo dõi Twitter: https://twitter.com/tapchibtc_io
Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin
- Quyết định phê duyệt Bitcoin ETF giao ngay sẽ đến trong tuần này?
- Tiền điện tử đã quay trở lại thị trường bò, nhưng không phải theo cách bạn nghĩ
- Top 3 tiền điện tử có giá dưới 0,1 đô la tiềm năng cho tuần tới
Đình Đình
Theo The Block
