Spyware: Công cụ đánh cắp tài sản Crypto thầm lặng

Spyware là gì?

Spyware, hay phần mềm gián điệp, là loại phần mềm độc hại (malware) được thiết kế để bí mật xâm nhập và thu thập thông tin từ thiết bị của người dùng mà không có sự đồng ý của họ. Thông tin này có thể bao gồm thói quen duyệt web, mật khẩu, thông tin cá nhân hoặc thậm chí là các hoạt động trực tuyến như tin nhắn hay email.

Sau khi thu thập, dữ liệu thường được gửi đến bên thứ ba, chẳng hạn như tin tặc, công ty quảng cáo, tổ chức tội phạm mạng… để phục vụ các mục đích như đánh cắp danh tính, lừa đảo, hoặc kiếm lợi nhuận từ quảng cáo.

Trong lĩnh vực crypto, spyware thường thu thập các thông tin nhạy cảm như private key, seed phrase, mật khẩu ví hoặc thông tin tài khoản trên các sàn giao dịch, với mục đích đánh cắp tài sản của người dùng crypto. Các spyware này được lây nhiễm qua các ứng dụng giả mạo, email lừa đảo nhắm vào người dùng crypto, hoặc thậm chí là các tiện ích mở rộng trình duyệt độc hại giả dạng công cụ quản lý ví.

Với giá trị tài sản crypto ngày càng gia tăng, spyware đã trở thành công cụ yêu thích của tin tặc để thâm nhập vào ví tiền mã hóa và chiếm đoạt tài sản của nạn nhân mà không để lại dấu vết rõ ràng.

Tại sao spyware đặc biệt nguy hiểm trong Crypto?

Private key và seed phrase là những “chìa khóa” duy nhất để truy cập ví tiền mã hóa. Bằng cách sử dụng spyware, tin tặc sẽ lấy được thông tin này và có thể chuyển toàn bộ số tiền trong ví của người dùng sang ví của chúng. Do tính chất phi tập trung và không thể đảo ngược của blockchain, nạn nhân hầu như không thể lấy lại tài sản đã mất.

Điều này làm tăng mức độ nghiêm trọng của các cuộc tấn công bằng spyware, vì chỉ cần một lần xâm nhập thành công, hậu quả có thể là mất mát toàn bộ tài sản. Ronin Network từng là nạn nhân của cuộc tấn công bằng spyware vào năm 2022, với tổng thiệt hại lên đến hơn 600 triệu USD, trở thành một trong những vụ hack gây chấn động thị trường crypto ở thời điểm bấy giờ.

Ngoài ra, spyware thường hoạt động âm thầm, không gây ra dấu hiệu rõ ràng như làm chậm thiết bị (như cryptojacking), khiến người dùng không nhận ra mình đang bị tấn công cho đến khi quá muộn. Hơn nữa, chúng liên tục được phát triển và tinh chỉnh để nhắm mục tiêu cụ thể vào người dùng tiền mã hóa.

Ngày 07/02/2024, công ty an ninh mạng Kaspersky Việt Nam phát hiện một loại mã độc mới, gọi là SparkCat, đã hoạt động trên cả Apple App Store và Google Play từ tháng 3/2024.

SparkCat sử dụng công nghệ học máy để quét thư viện ảnh, đánh cắp ảnh chụp màn hình chứa seed phrase và các thông tin nhạy cảm khác. Điều này cho phép tin tặc truy cập và chiếm đoạt tài sản tiền mã hóa của người dùng mà họ không hề hay biết.

Theo Kaspersky, các phiên bản ứng dụng bị nhiễm SparkCat còn được phân phối thông qua các nguồn không chính thức khác. Tính riêng trên Google Play, các ứng dụng này đã được tải xuống hơn 250,000 lần. Mặc dù chưa ghi nhận bất kỳ trường hợp thiệt hại nào liên quan đến SparkCat, con số này phần nào cho thấy việc người dùng bị đánh cắp tài sản mã hóa giống như một chiếc “bom nổ chậm”.

Spyware trong Crypto hoạt động như thế nào?

Sau khi xâm nhập vào thiết bị của nạn nhân, spyware có thể hoạt động theo nhiều cách khác nhau. Tuy nhiên, nhìn chung, spyware sẽ thường hoạt động qua 4 giai đoạn như sau:

Giai đoạn 1. Xâm nhập vào hệ thống

Spyware thường không tự nhiên xuất hiện trên thiết bị của người dùng, mà nó được nhúng vào các phần mềm, trang web, file giả mạo hoặc email airdrop lừa đảo.

Một số loại spyware còn ẩn trong các phần mềm đào coin miễn phí hoặc tiện ích mở rộng trình duyệt quảng cáo là "tăng tốc giao dịch". Khi người dùng tải phần mềm, tiện ích hoặc mở file, spyware sẽ xâm nhập vào thiết bị và bắt đầu sang giai đoạn hai.

Giai đoạn 2. Thu thập thông tin nhạy cảm

Khi đã xâm nhập, spyware bắt đầu theo dõi các hoạt động liên quan đến crypto và thu thập dữ liệu nhạy cảm.

Tùy từng loại spyware mà cách thức thu thập thông tin sẽ khác nhau, bao gồm ghi lại thao tác nhập private key, sao chép địa chỉ ví từ clipboard (bộ nhớ tạm của thiết bị) và thay đổi thành địa chỉ ví hacker khiến người dùng gửi nhầm địa chỉ, chụp màn hình khi người dùng đăng nhập vào sàn giao dịch.

Giai đoạn 3. Truyền dữ liệu

Dữ liệu sẽ được gửi về máy chủ của kẻ tấn công qua kết nối ẩn. Quá trình này diễn ra âm thầm, thường không làm gián đoạn trải nghiệm của người dùng để tránh bị phát hiện.

Giai đoạn 4. Khai thác tài sản

Với thông tin thu thập được, tin tặc có thể truy cập ví của người dùng, rút sạch tiền điện tử, hoặc thực hiện các giao dịch trái phép. Vì blockchain không thể đảo ngược giao dịch, nạn nhân hầu như không có cách nào lấy lại tài sản đã mất.

Các loại Spyware phổ biến trong Crypto

Spyware trong crypto có thể được phân thành nhiều loại khác nhau, tùy thuộc vào cách thức hoạt động và mục tiêu của chúng. Dưới đây là ba nhóm chính của spyware: System Monitor, Trojan Spyware và Botnet Spyware.

System Monitor: Giám sát hệ thống và đánh cắp dữ liệu

System Monitor là nhóm spyware chuyên theo dõi và ghi lại hoạt động trên thiết bị của nạn nhân. Chúng thường hoạt động ngầm trong nền, tập trung vào việc thu thập thông tin nhạy cảm như mật khẩu ví, seed phrase, địa chỉ ví crypto, mã xác thực 2FA, sau đó gửi về máy chủ của hacker.

• Keylogger: Ghi lại mọi thao tác bàn phím.
• Screenlogger: Chụp ảnh màn hình hoặc quay video thao tác của nạn nhân.
• Clipboard Hijacker: Theo dõi nội dung được sao chép và thay đổi địa chỉ ví khi người dùng thực hiện giao dịch.
• Memory Scraper: Trích xuất dữ liệu nhạy cảm từ bộ nhớ RAM.
• Web Inject: Chèn mã độc vào trình duyệt để theo dõi hoạt động, đánh cắp thông tin đăng nhập, cookie và dữ liệu ví.

Trojan Spyware: Kiểm soát thiết bị từ xa

Trojan Spyware là loại phần mềm gián điệp “ẩn mình” trong các ứng dụng hợp pháp hoặc giả mạo để lén lút xâm nhập vào thiết bị của nạn nhân. Không giống như các loại spyware khác chỉ thu thập dữ liệu, Trojan Spyware có thể kiểm soát hoàn toàn thiết bị từ xa, giúp hacker thực hiện các hành động trái phép như mở ví, gửi giao dịch, thay đổi mật khẩu, hoặc đánh cắp toàn bộ tài sản crypto mà nạn nhân không hay biết.

Đây loại spyware nguy hiểm nhất, bởi hacker sẽ có toàn quyền điều khiển thiết bị, từ di chuyển chuột, nhập bàn phím, mở ví, thực hiện lệnh rút tiền hoặc thay đổi cài đặt bảo mật mà nạn nhân không hề hay biết.

Botnet Spyware: Kiểm soát hàng loạt thiết bị

Botnet Spyware là loại phần mềm gián điệp không chỉ đánh cắp dữ liệu cá nhân mà còn biến thiết bị của nạn nhân thành một phần của mạng lưới botnet – một nhóm lớn các thiết bị bị kiểm soát từ xa mà người dùng không hề hay biết. Các hacker có thể sử dụng mạng lưới này để thực hiện các cuộc tấn công lớn hoặc khai thác tiền mã hóa trái phép, gây ảnh hưởng đến hàng nghìn hoặc thậm chí hàng triệu người trên toàn cầu.

Thông qua Botnet Spyware, kẻ tấn công có thể tạo ra các cuộc tấn công từ chối dịch vụ (DDoS), lừa đảo tài sản với quy mô lớn dựa trên thông tin thu thập được từ mạng lưới, hoặc bán thông tin nhạy cảm trên chợ đen.

Năm 2018, các nhà nghiên cứu bảo mật đã phát hiện ra Smominru, loại botnet đã biến các máy tính bị nhiễm thành máy đào tiền mã hóa Monero. Botnet này xâm nhập vào hơn 500,000 thiết bị trên toàn cầu, chủ yếu khai thác tiền Monero (XMR) bằng cách lợi dụng tài nguyên CPU của nạn nhân. Ở thời điểm đó, Smominru khai thác được khoảng 24 XMR mỗi ngày, tương đương 8,500 USD.

Dấu hiệu nhận biết thiết bị nhiễm Spyware

Mặc dù trong phần lớn trường hợp, spyware thường hoạt động âm thầm trên thiết bị và không để lại dấu hiệu rõ ràng ngay lập tức, khiến nhiều người chỉ nhận ra khi tài sản crypto đã bị đánh cắp hoặc thiết bị hoạt động bất thường. Tuy nhiên, vẫn có một số dấu hiệu giúp phát hiện sớm sự xâm nhập của spyware.

Thiết bị chạy chậm hoặc nóng hơn bình thường dù không mở nhiều ứng dụng, mạng bị chậm, lưu lượng băng thông cao bất thường, bàn phím và chuột phản hồi chậm hoặc tự động thao tác… Đây có thể là những dấu hiệu đầu tiên cho thấy spyware đang thu thập và gửi dữ liệu về máy chủ hacker.

Tiếp theo, nếu địa chỉ ví thay đổi sau khi sao chép và dán, việc này rõ ràng cho thấy rằng clipboard hijacker đang hoạt động trên thiết bị của người dùng. Hay bỗng nhiên trang web bị chuyển hướng, trình duyệt yêu cầu nhập lại mật khẩu dù chưa đăng xuất, khả năng cao loại spyware web inject đang giả mạo trang đăng nhập để đánh cắp thông tin.

Cách phòng tránh Spyware

Để tránh bị spyware xâm nhập, hạn chế tải phần mềm từ các nguồn không rõ ràng là điều quan trọng nhất. Chỉ tải ứng dụng từ trang web chính thức của ví crypto hoặc sàn giao dịch, tránh cài đặt tiện ích mở rộng trình duyệt không cần thiết.

Một trong những biện pháp bảo mật quan trọng là không nhập seed phrase trên thiết bị có kết nối internet. Nếu cần lưu trữ, tốt nhất là viết ra giấy và giữ ở nơi an toàn, thay vì lưu trữ trong file trên máy tính hoặc điện thoại, nơi spyware có thể dễ dàng truy cập.

Sử dụng ví phần cứng như Ledger, Trezor hoặc Ellipal là cách an toàn nhất để bảo vệ tài sản. Ví phần cứng giữ private key ngoại tuyến, ngay cả khi máy tính bị nhiễm spyware, hacker vẫn không thể thực hiện giao dịch mà không có sự xác nhận vật lý từ thiết bị.

Ngoài ra, cài đặt phần mềm chống malware như Kaspersky, Malwarebytes hoặc Bitdefender giúp phát hiện và loại bỏ spyware trước khi nó kịp gây hại. Việc bật tường lửa và theo dõi lưu lượng mạng cũng giúp kiểm tra xem thiết bị của bạn có đang gửi dữ liệu đến các máy chủ đáng ngờ hay không.

Luôn kiểm tra địa chỉ ví trước khi gửi tiền, đặc biệt là 4 ký tự đầu và cuối, để tránh bị clipboard hijacker thay đổi địa chỉ. Nếu có thể, hãy sử dụng các ứng dụng tên miền, ID cho ví như OneiD, Ethereum Name Service (ENS), Unstoppable Domains… để đặt tên cho ví của bạn, giúp hạn chế rủi ro nhập sai địa chỉ.

Cuối cùng, bật xác thực hai yếu tố (2FA) trên tất cả các tài khoản sàn giao dịch, nhưng không nên dùng SMS 2FA vì hacker có thể tấn công bằng SIM-swapping để chiếm quyền kiểm soát số điện thoại của bạn. Google Authenticator hoặc Authy là lựa chọn an toàn hơn.

Đọc thêm: Rust – Ngôn ngữ lập trình an toàn và hiệu suất cao