Một loại mã độc mới vừa được phát hiện đang nhắm trực tiếp vào ví crypto và các tiện ích mở rộng trình duyệt, trong khi ngụy trang dưới dạng phần mềm gian lận (cheat), bản mod trò chơi hoặc công cụ crack, theo hãng an ninh mạng Kaspersky.
Trong báo cáo công bố hôm thứ Năm, Kaspersky cho biết họ đã phát hiện một loại infostealer mới có tên Stealka, chuyên đánh cắp dữ liệu người dùng trên hệ điều hành Microsoft Windows. Mã độc này được phát hiện lần đầu vào tháng 11 và đã bị kẻ tấn công lợi dụng để chiếm quyền tài khoản, đánh cắp crypto, đồng thời cài đặt phần mềm đào tiền số trái phép trên máy nạn nhân.
Đáng chú ý, Stealka thường được phát tán dưới vỏ bọc là các bản crack, cheat và mod trò chơi điện tử. Các gói mã độc này được đăng tải trên những nền tảng tưởng chừng hợp pháp như GitHub, SourceForge hay Google Sites, phổ biến nhất là dưới dạng mod cho Roblox hoặc phần mềm crack cho các ứng dụng như Microsoft Visio.
Theo nhà nghiên cứu Artem Ushkov của Kaspersky, trong một số trường hợp, kẻ tấn công còn đi xa hơn khi tận dụng các công cụ trí tuệ nhân tạo để xây dựng những website giả mạo có giao diện “rất chuyên nghiệp”, khiến người dùng khó phân biệt thật – giả.
Stealka đặc biệt nguy hiểm vì nhắm thẳng vào dữ liệu của các trình duyệt sử dụng nhân Chromium và Gecko. Điều này đồng nghĩa với việc hơn 100 trình duyệt có nguy cơ bị ảnh hưởng, bao gồm Chrome, Firefox, Opera, Yandex, Edge, Brave và nhiều trình duyệt phổ biến khác.
Mục tiêu chính của mã độc là dữ liệu tự động điền (autofill) như thông tin đăng nhập, địa chỉ và chi tiết thẻ thanh toán. Ngoài ra, Stealka còn tấn công trực tiếp vào cấu hình và cơ sở dữ liệu của 115 tiện ích mở rộng trình duyệt, bao gồm ví crypto, trình quản lý mật khẩu và các dịch vụ xác thực hai yếu tố (2FA).
Danh sách các ví crypto bị nhắm tới rất rộng, với khoảng 80 ví khác nhau, trong đó có Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask, TON, Phantom, Nexus và Exodus.
Không dừng lại ở đó, Kaspersky cho biết nhiều ứng dụng nhắn tin như Discord, Telegram, Unigram, Pidgin và Tox cũng nằm trong tầm ngắm, cùng với các phần mềm email, trình quản lý mật khẩu, ứng dụng chơi game và thậm chí cả các dịch vụ VPN.
Để giảm thiểu rủi ro, Kaspersky khuyến nghị người dùng nên cài đặt phần mềm diệt virus uy tín, sử dụng trình quản lý mật khẩu chuyên dụng thay vì lưu thông tin đăng nhập trực tiếp trên trình duyệt, và đặc biệt tránh cài đặt phần mềm crack hoặc các bản mod trò chơi không chính thức.
Cảnh báo này được đưa ra trong bối cảnh Cloudflare gần đây tiết lộ rằng hơn 5% tổng số email được gửi trên toàn cầu có chứa nội dung độc hại. Trong số đó, hơn một nửa chứa liên kết phishing, còn khoảng 25% các tệp đính kèm HTML được xác định là mã độc.
Vương Tiễn
Theo Tapchibitcoin
