Microsoft phát hiện mã độc trojan mới nhắm vào tiền mã hóa

Microsoft vừa phát hiện một loại mã độc mới có tên StilachiRAT, được thiết kế để tấn công các tiện ích mở rộng ví tiền mã hóa trên trình duyệt Google Chrome. Loại mã độc truy cập từ xa (Remote Access Trojan – RAT) này có thể nhắm vào MetaMask, Coinbase Wallet, Trust Wallet và các nền tảng ví crypto phổ biến khác, gây ra nguy cơ mất tài sản kỹ thuật số nghiêm trọng.

Cách StilachiRAT xâm nhập vào hệ thống

Microsoft cho biết vẫn chưa xác định chính xác cách thức phát tán chính của StilachiRAT, nhưng nhiều khả năng mã độc này có thể xâm nhập vào máy tính theo các con đường sau:

• Email lừa đảo (phishing email) chứa liên kết hoặc tệp đính kèm độc hại. Khi người dùng mở tệp hoặc nhấp vào liên kết, mã độc sẽ tự động tải về và chạy trên hệ thống.
• Phần mềm giả mạo, đặc biệt là các ứng dụng liên quan đến tiền mã hóa, như ví điện tử hoặc công cụ hỗ trợ giao dịch crypto được tải từ các trang web không chính thống.
• Tệp tin tải xuống từ các nguồn không đáng tin cậy, chẳng hạn như file crack phần mềm hoặc các plugin trình duyệt bị chèn mã độc.

Cách StilachiRAT hoạt động sau khi xâm nhập

Khi đã xâm nhập vào hệ thống, StilachiRAT thực hiện một loạt hành vi nguy hiểm để kiểm soát thiết bị và đánh cắp thông tin:

1. Thu thập thông tin hệ thống: Mã độc quét toàn bộ thiết bị để lấy thông tin về phần cứng, phần mềm, các tiến trình đang chạy và danh sách ứng dụng đã cài đặt.
2. Ẩn mình trong dịch vụ chạy nền: StilachiRAT tự động chèn vào các dịch vụ hệ thống để duy trì hoạt động ngay cả khi thiết bị khởi động lại, khiến việc phát hiện và loại bỏ trở nên khó khăn.
3. Kết nối với máy chủ hacker: Mã độc liên lạc với máy chủ điều khiển (C2 server) của tin tặc bằng cách sử dụng các cổng phổ biến, giúp che giấu hoạt động bất thường trước các phần mềm bảo mật.
4. Theo dõi hoạt động trên máy tính: Hacker có thể theo dõi các cửa sổ đang mở trên trình duyệt và ứng dụng, thu thập dữ liệu liên quan đến các tài khoản tài chính và giao dịch tiền mã hóa.
5. Nhắm vào ví tiền mã hóa trên Chrome: StilachiRAT tìm kiếm tệp lưu trữ thông tin cài đặt của trình duyệt, đặc biệt là dữ liệu liên quan đến các tiện ích mở rộng ví crypto. Nếu thành công, hacker có thể trích xuất private key, cụm từ khôi phục (seed phrase) hoặc thông tin đăng nhập, từ đó chiếm đoạt tài sản của nạn nhân.

Cách bảo vệ ví tiền mã hóa khỏi StilachiRAT

Trước nguy cơ bị tấn công từ StilachiRAT, Microsoft khuyến nghị người dùng thực hiện các biện pháp bảo vệ sau:

• Chỉ tải phần mềm từ các nguồn chính thức: Không tải ví tiền mã hóa hoặc ứng dụng liên quan từ trang web không rõ nguồn gốc. Luôn kiểm tra địa chỉ URL trước khi tải phần mềm.
• Sử dụng trình duyệt Microsoft Edge: Trình duyệt này có tích hợp sẵn các tính năng bảo mật giúp ngăn chặn mã độc xâm nhập.
• Bật Safe Links và Safe Attachments trong Office 365: Hai tính năng này giúp quét và chặn các liên kết hoặc tệp đính kèm độc hại trong email, giảm nguy cơ nhiễm mã độc qua phishing.
• Kích hoạt Microsoft Defender for Endpoint: Công cụ bảo mật này có thể phát hiện và ngăn chặn các kết nối đến các miền độc hại mà StilachiRAT sử dụng để liên lạc với hacker.
• Không lưu trữ private key trên trình duyệt: Luôn sử dụng ví cứng (hardware wallet) hoặc các phương pháp bảo mật nâng cao để bảo vệ private key và seed phrase.

Việc các phần mềm độc hại như StilachiRAT ngày càng tinh vi cho thấy mối đe dọa đối với tài sản số đang gia tăng. Người dùng tiền mã hóa cần đặc biệt cẩn trọng khi truy cập các trang web, mở email hoặc tải phần mềm liên quan đến crypto, đồng thời áp dụng các biện pháp bảo mật nghiêm ngặt để tránh trở thành nạn nhân của các cuộc tấn công mạng.

Muốn nhận tin tức sớm nhất về thị trường và các dự án? Anh em hãy tham gia tại đây nhé.