Các chiến dịch malware đang hoạt động lợi dụng sự phổ biến ngày càng tăng của các công cụ AI để nhắm đến những người dùng không nghi ngờ. Những cuộc tấn công này không chủ yếu dựa vào lỗ hổng phần mềm hay vi phạm nền tảng. Thay vào đó, chúng nhắm đến một hành vi đơn giản hơn: tìm kiếm trực tuyến các công cụ AI như Claude và tải xuống những gì có vẻ như là trình cài đặt chính thức.

Những kẻ tấn công đang tận dụng sự tin tưởng vào các thương hiệu quen thuộc và giao diện bóng bẩy để phân phối malware có thể làm suy yếu thiết bị, đánh cắp thông tin đăng nhập và nhắm đến các tài sản liên quan đến crypto.

Cách tấn công hoạt động

Các chiến dịch này thường bắt đầu với quảng cáo tìm kiếm tài trợ.

Khi người dùng tìm kiếm các thuật ngữ như "tải xuống Claude" hoặc "cài đặt Claude Code", các quảng cáo độc hại có thể xuất hiện trên các kết quả tìm kiếm hợp pháp. Những quảng cáo này thường trông thuyết phục và dẫn người dùng đến các trang cài đặt giả mạo được thiết kế để sao chép gần như chính xác tài liệu chính thức.

Các trang giả mạo thường có:

  • Bố cục và thương hiệu nhìn giống chính thức

  • Hướng dẫn cài đặt được điều chỉnh cho Windows hoặc macOS

  • Liên kết tải xuống hoặc lệnh terminal được trình bày như các bước cài đặt tiêu chuẩn

Đối với người dùng Windows, các hướng dẫn độc hại có thể thực thi các công cụ hệ thống để lén lút tải về và chạy malware.

Đối với người dùng macOS, các lệnh terminal có thể kích hoạt các payload nhiều giai đoạn để thiết lập quyền truy cập bền vững.

Trong các biến thể tiên tiến hơn, kẻ tấn công cũng đã phân phối:

  • Các kho GitHub giả mạo dưới dạng các phiên bản premium bị rò rỉ

  • Các gói cài đặt bị Trojan hóa giả dạng là các bản phát hành "Pro"

  • Malware khởi động ứng dụng hợp pháp sau đó để tránh nghi ngờ

Khi được cài đặt, malware có thể đánh cắp thông tin xác thực trình duyệt, cookie phiên, dữ liệu mở rộng ví, khóa API, và các bí mật đã lưu.

Tại sao điều này quan trọng đối với người dùng Crypto

Một thiết bị bị xâm phạm không chỉ là vấn đề của thiết bị. Nó có thể nhanh chóng trở thành một sự cố an ninh ví.

Các chiến dịch này có thể nhắm đến:

  • Các tiện ích mở rộng ví trên trình duyệt

  • Các ứng dụng ví trên máy tính để bàn

  • Thông tin xác thực giao dịch đã lưu

  • Dữ liệu Keychain trên macOS

  • Các công cụ quản lý crypto như phần mềm ví phần cứng

Bởi vì nhiều mối đe dọa này thiết lập sự tồn tại và có thể xóa dấu vết thực thi, người dùng có thể không nhận ra rằng hệ thống của họ đã bị xâm phạm cho đến khi quỹ hoặc quyền truy cập tài khoản bị ảnh hưởng.

Cách để ở SAFU

  • Hãy cẩn thận với các tải xuống từ tìm kiếm tài trợ
    Đừng tải xuống phần mềm qua các kết quả tìm kiếm được quảng cáo mà không có xác minh.

  • Xác minh toàn bộ miền
    Thương hiệu nhìn giống chính thức không đảm bảo tính xác thực.

  • Sử dụng cẩn thận với các lệnh trong terminal
    Ngay cả khi một lệnh xuất hiện trong tài liệu, hãy xác minh rằng nguồn gốc là chính thức và đáng tin cậy trước khi thực thi.

  • Hãy hoài nghi về các phiên bản "premium unlocked"
    Những lời chào hàng tuyên bố tính năng độc quyền hoặc các bản phát hành Pro không chính thức là những dấu hiệu đỏ mạnh mẽ.

  • Hành động ngay lập tức nếu bị lộ
    Nếu bạn gần đây đã cài đặt phần mềm từ kết quả quảng cáo hoặc thực thi các lệnh đáng ngờ, hãy chạy quét toàn bộ hệ thống và thay đổi tất cả các thông tin xác thực liên quan đến thiết bị đó.

Nhắc nhở cuối cùng

Các chiến dịch malware hiện đại không còn chỉ dựa vào các trang giả mạo rõ ràng.

Chúng sao chép tài liệu chính thức, thương hiệu đáng tin cậy, và quy trình hợp pháp với độ chính xác đáng kinh ngạc.

Trong crypto, một lần tải xuống cẩu thả có thể trở thành con đường trực tiếp dẫn đến việc ví bị xâm phạm. Theo dõi chúng tôi để luôn được cập nhật và an toàn.

#Binancesecurity #STAYSAFU #CyberSecurity #WalletSecurity