News

Malware mới ModStealer tấn công ví tiền mã hoá trên nhiều hệ điều hành

Web3 Station

Web3 Station

3 min read
Malware mới ModStealer tấn công ví tiền mã hoá trên nhiều hệ điều hành

Một loại mã độc mới mang tên ModStealer vừa được các chuyên gia an ninh mạng phát hiện, đang nhắm trực tiếp vào người dùng ví tiền mã hoá trên cả macOS, Windows và Linux, gây lo ngại lớn trong cộng đồng Web3.

Phát hiện ban đầu

Theo công ty bảo mật Apple Mosyle, ModStealer đã xuất hiện trên nền tảng phân tích VirusTotal nhưng thoát khỏi sự phát hiện của hầu hết các phần mềm chống virus suốt gần một tháng. Mã độc này được lập trình sẵn để thu thập dữ liệu quan trọng, từ private key, chứng chỉ, file thông tin đăng nhập cho đến các tiện ích mở rộng ví trên trình duyệt Safari và Chromium.

Trên macOS, ModStealer lợi dụng cơ chế hệ thống để tự đăng ký dưới dạng background agent, giúp nó duy trì hoạt động âm thầm trong máy nạn nhân. Máy chủ điều khiển được xác định đặt tại Phần Lan, nhưng nhiều khả năng đường truyền đã được chuyển hướng qua Đức nhằm che giấu tung tích của nhóm tấn công.

Chiêu thức lây lan tinh vi

Điều đáng lo ngại là ModStealer không phát tán qua đường link hay file tải về thông thường, mà thông qua quảng cáo tuyển dụng giả – một chiêu trò ngày càng phổ biến trong giới tội phạm mạng nhắm vào các lập trình viên Web3.

Khi người dùng tải về “bài test kỹ năng” từ nhà tuyển dụng giả mạo, họ thực chất đang cài đặt gói phần mềm chứa mã độc. Sau khi xâm nhập, ModStealer có thể:

  • Thu thập dữ liệu từ clipboard (bao gồm địa chỉ ví sao chép).
  • Chụp ảnh màn hình.
  • Thực thi lệnh từ xa.
  • Đánh cắp private key và seed phrase.

Cảnh báo từ chuyên gia bảo mật Hacken

Trao đổi với Cointelegraph, ông Stephen Ajayi, trưởng nhóm kỹ thuật kiểm toán tại Hacken, cảnh báo rằng các chiến dịch tuyển dụng giả đang trở thành một mối đe doạ thường trực đối với nhà phát triển blockchain.

Ông khuyến nghị các lập trình viên:

  • Xác minh kỹ tính hợp pháp của công ty tuyển dụng và domain.
  • Yêu cầu bài test được chia sẻ qua repository công khai.
  • Mở file nghi ngờ trong máy ảo dùng một lần, không có ví, SSH key hoặc password manager.

Ajayi nhấn mạnh tầm quan trọng của việc tách biệt hoàn toàn môi trường phát triển và lưu trữ tài sản:

“Một chiếc dev box chỉ để code, còn wallet box chỉ để quản lý ví. Tuyệt đối không trộn lẫn.”

Biện pháp bảo vệ ví crypto

Ngoài ra, chuyên gia Hacken cũng đưa ra các biện pháp phòng ngừa cơ bản nhưng vô cùng cần thiết:

  • Luôn sử dụng ví cứng và kiểm tra kỹ địa chỉ giao dịch (ít nhất 6 ký tự đầu và cuối).
  • Dùng một trình duyệt hoặc thiết bị chuyên biệt chỉ để thao tác với ví.
  • Lưu trữ seed phrase ở chế độ ngoại tuyến.
  • Kích hoạt xác thực đa yếu tố (MFA) và FIDO2 passkeys nếu có thể.

Lời kết

Sự xuất hiện của ModStealer cho thấy tội phạm mạng ngày càng sáng tạo và tinh vi trong việc tấn công tài sản số. Người dùng và các lập trình viên Web3 cần nâng cao cảnh giác, áp dụng những thói quen bảo mật cơ bản, và tuyệt đối không chủ quan trước các lời mời gọi tuyển dụng trực tuyến.

Read more