Chiêu trò lừa đảo của các công ty "AI giả mạo" đang tìm cách lấy cắp tiền điện tử mà không ai hay biết

[trungthuc]

Một chiến dịch tấn công về mặt kỹ thuật tinh vi đang nhắm đến người chơi tiền điện tử, thông qua các "công ty khởi nghiệp giả mạo" hoạt động trên nền tảng AI, trò chơi và Web3. Mục tiêu của chiến dịch là gạ gẩm, lôi kéo các nạn nhân tải về phần mềm độc hại sau đó ra tay đánh cắp chiếm đoạt tài sản kỹ thuật số trên cả hệ điều hành Windows và macOS.

Lừa đảo kỹ thuật cao núp dưới vỏ bọc start-up AI, Web3​
Theo chuyên gia nghiên cứu Tara Gould từ Darktrace, những kẻ tấn công đã ngụy tạo ra các công ty "ảo", mạo danh doanh nghiệp hoạt động trong lĩnh vực trí tuệ nhân tạo, trò chơi điện tử và Web3. Chúng cho sử dụng tài khoản mạng xã hội "giả mạo" và lưu trữ tài liệu dự án trên các nền tảng nguồn mở hợp pháp như Notion và GitHub để tạo sự tin cậy.

Chiến dịch này đã từng được ghi nhận thấy vào tháng 12/2024, khi những kẻ đứng sau giả mạo nền tảng hội nghị truyền hình để lừa người tiêu dùng tham gia các cuộc họp trực tuyến đầu tư. Khi nạn nhân cho tải xuống phần mềm họp giả mạo, họ đã vô tình cài đặt thêm phần mềm độc hại đánh cắp số liệu như Realst. Chiến dịch lừa đảo này được đặt tên là Meeten, dựa trên dịch vụ giả mạo được cho sử dụng.
Tuy nhiên, các hoạt động có liên quan đến chuyện lừa đảo này đã thấy xuất hiện sớm hơn, ít nhất là từ tháng 3/2024, khi nhóm Jamf Threat Labs đã khám phá ra tên miền "meethub[.]gg" được sử dụng để phát tán phần mềm độc hại Realst.

Chiến dịch phát tán phần mềm độc hại tinh vi nhắm vào người chơi tiền số​
Trong thời gian gần đây, chiến dịch này vẫn tiếp tục được mở rộng và áp dụng các chủ đề thời thượng như AI, trò chơi blockchain và mạng xã hội để gạ gẫm người dùng tải xuống phần mềm. Kẻ tấn công còn chiếm quyền kiểm soát các tài khoản X (Twitter) đã được xác minh của công ty và nhân viên thật để gia tăng mức độ tin cậy cho những công ty lừa đảo này.

(Minh họa)

Gould còn cho biết: "Bọn chúng sử dụng các trang web phổ biến như X, Medium, GitHub và Notion để tạo ra hồ sơ công ty chuyên nghiệp, bao gồm giới thiệu về nhân sự, blog, sách trắng và lộ trình phát triển".
Một ví dụ là công ty giả mạo Eternal Decay (@metaversedecay), tự nhận là game blockchain, đã cho chia sẻ các hình ảnh chỉnh sửa kỹ thuật số để giả mạo việc tham dự các hội nghị kỹ thuật. Chiêu trò này giúp tạo ra sự hiện diện trực tuyến đáng tin cậy, tăng khả năng dụ dổ người dùng tải xuống phần mềm độc hại.
Danh sách một số công ty "ảo" liên quan đến lừa đảo bao gồm:
- BeeSync (@BeeSyncAI, @AIBeeSync)
- Buzzu (@BuzzuApp, @AI_Buzzu, @AppBuzzu)
- Cloudsign (@cloudsignapp)
- Dexis (@DexisApp)
- KlastAI (liên kết với Pollens AI)
- Lunelior, NexLoop (@nexloopspace), NexoraCore, NexVoo (@Nexvoospace)
- Pollens AI (@pollensapp)
- Slax, Solune, Swox, Wasper, YondaAI

Chuỗi tấn công sẽ bắt đầu ra tay khi các tài khoản do bọn tin tặc kiểm soát, sẽ nhắn tin trực tiếp cho nạn nhân qua X, Telegram hoặc Discord, mời họ tham gia thử nghiệm phần mềm để đổi lấy phần thưởng bằng tiền điện tử.
Nếu nạn nhân đồng ý, họ sẽ được hướng dẫn đến trang web "giả mạo" để nhập mã đăng ký, từ đó tải xuống phần mềm Electron (Windows) hoặc tập tin DMG (macOS). Trên Windows, ứng dụng sẽ hiển thị màn hình xác minh "Cloudflare giả mạo" để tìm cách đánh lạc hướng, trong khi ngầm thu thập thông tin cá nhân trong hệ thống và chạy tập tin cài đặt MSI. Dù chưa rõ phần mềm độc hại chính xác là những gì, nhưng có nhiều khả năng là một loại mã độc chuyến lấy cắp thông tin cá nhân.

Trên macOS, chiến dịch sẽ cho triển khai "Atomic macOS Stealer" (AMOS), phần mềm độc hại từng biết đến, có khả năng đánh cắp số liệu từ trình duyệt và ví tiền điện tử. Sau khi ra tay hoạt động, nó gửi dữ kiện về máy chủ đặt từ xa. Ngoài ra, tập tin DMG còn chứa script shell tạo ra Launch Agent để giúp phần mềm tự động cho khởi động mỗi khi người tiêu dùng đăng nhập. Một tập tin nhị phân khác sẽ ghi lại lịch sử quá trình sử dụng và các tương tác của người dùng rồi cũng gửi về máy chủ điều khiển.

Công ty Darktrace cho rằng chiến dịch này có điểm tương đồng với nhóm tin tặc Crazy Evil, từng sử dụng phần mềm độc hại như AMOS, StealC, Angel Drainer. Tuy chưa có thể khẳng định chính xác chiến dịch do kẻ nào đứng phía sau, nhưng kỹ thuật sử dụng rất giống nhau: xây dựng công ty giả mạo tinh vi nhằm chiếm đoạt tiền điện tử người dùng với phần mềm độc hại liên tục được cập nhật để tránh bị phát hiện.

Đọc thêm chi tiết tại đây:
- https://thehackernews.com/2025/07/fa...h-malware.html

Tham lam, gian trá, lừa đảo, đó là cá tính (hay là bản chất) nổi bật của những kẻ thích chơi tiền số, tiền điện tử, cũng như bon xấu, kẻ gian muốn né tránh luật pháp để giao dịch mờ ám trong bóng tối! Người sống tử tế không cấn phải bỏ ra đến cả trăm ngàn đô để mua 1 bitcoin, hầu mai sau sẽ làm giàu, kiếm chác thêm mà khỏi phải bị đóng thuế cho chính phủ. Long tham quả thật không có đáy và không có thuốc chữa hiệu nghiệm nên thiên hạ cứ lăn xã vô kiếm chác!!

Cho nên, có "cảnh báo", có la làng, có cảnh giác vạch mặt cũng vô ích, vì không thể nào dẹp bỏ nổi tánh tham lam ở con người được, ngay cả người đã dày công tu hành, cống hiến cả đời cho đức tin cũng có lúc bị lòng tham làm cho mờ mắt, và giở trò bậy bạ chớ nói chi đến người trần tục, bình thường rất dễ bị gạ gẫm, dụ dổ!!! Thành thữ, thiên hạ mới có câu nói: "Đời là bể khổ" là vậy!