Chỉ trong vòng 9 tháng qua, mã độc "Wallet Drainers" đã được kẻ tấn công đính kèm vào các website mạo danh để "cuỗm" hàng chục triệu USD crypto của người dùng.
"Wallet Drainers" là tên của một loại mã độc được thiết lập lệnh tự động rút tài sản crypto trong các ví Web3 của người dùng. Loại mã này thường được các hackers sử dụng trong quảng cáo lừa đảo, tấn công nguồn cung blockchain, tấn công giả mạo (phishing), tấn công SimSwap...nhằm mục đích thu lợi bất chính, gây tổn thất đáng kể cho người dùng.
Đáng chú ý, mới đây đơn vị bảo mật Scam Sniffer cho biết lần đầu tiên phát hiện "Wallet Drainers" xuất hiện trên kết quả tìm kiếm của Google và quảng cáo X (Twitter cũ). Trong suốt 9 tháng qua, hình thức mới của mã độc này đã khiến hơn 63.000 người trở thành nạn nhân bị tấn công tài sản với tổng thiệt hại lên tới 58 triệu USD.
Từ tháng 03/2023 đến nay, Scam Sniffer khẳng định họ đã theo dõi khoảng 10.072 trang web lừa đảo, kết hợp phân tích dữ liệu on-chain phát hiện hình thức này đã đánh cắp 58,98 triệu USD crypto từ 63.210 địa chỉ ví người dùng.
Để đảm bảo quá trình theo dõi được khả quan, đơn vị bảo mật này còn phối hợp với SlowMist và thám tử on-chain ZachXBT cùng điều tra thêm nhiều trang web có gắn mã độc "Wallet Drainers".
Kết quả thu được vô số trang web dự án crypto giả mạo có gắn mã độc được chạy quảng cáo, bao gồm: Zapper, Lido, Stargate, Defillama, Orbiter Finance và Radiant. Thậm chí còn có những quảng cáo lừa đảo hiển thị trên X (Twitter) có tên là "Ordinals Bubbles".
Phân tích sâu hơn, Scam Sniffer nhận thấy các trang web mạo danh này đã sử dụng hàng loạt các phương pháp đa dạng khác nhau để vượt qua hệ thống kiểm duyệt quảng cáo của Google và X. Cách thức thường được sử dụng đó là kỹ thuật "lừa đảo chuyển hướng" để làm cho các trang web mạo danh trở nên "uy tín" hơn.
Đơn vị bảo mật dẫn chứng ví dụ: Hackers sẽ làm cho quảng cáo trang web xuất hiện hàng đầu trong kết quả tìm kiếm và được hiển thị với địa chỉ website chính chủ, nhưng khi người dùng nhấn truy cập sẽ ngay lập tức được chuyển hướng đến trang web mạo danh!
Điều đáng nói, mã nguồn thiết lập và công cụ quản lý "Wallet Drainers" lại được các kẻ tấn công bày bán công khai trên các diễn đàn và hội nhóm lập trình viên. Không giống như các công cụ quản lý khác, phần mềm "Wallet Drainers" ngoài giá bán còn thu thêm phí cài đặt 20%.
Thêm vào đó, nếu người dùng có nhu cầu thiết lập cao hơn như tạo chữ ký giả mạo trên các trình duyệt dApps kết nối ví Web3 sẽ phải trả thêm tiền.
Có thể thấy, quảng cáo mạo danh đã trở thành một "cánh cửa" để những kẻ lừa đảo dễ dàng tiếp cận lượng lớn nạn nhân. Chúng có thể tuỳ chọn các mục tiêu cụ thể để liên tục khởi chạy các chiến dịch lừa đảo bằng các công cụ chạy quảng cáo trên Google và X với chi phí rất thấp, nhưng đổi lại lợi nhuận lên tới hàng chục triệu đô la trong thời gian ngắn. Chỉ tính riêng trong tháng 11/2023, các vụ tấn công crypto đã "cuỗm" mất 340 triệu USD tài sản của người dùng trên các nền tảng DeFi.
"Wallet Drainers" là tên của một loại mã độc được thiết lập lệnh tự động rút tài sản crypto trong các ví Web3 của người dùng. Loại mã này thường được các hackers sử dụng trong quảng cáo lừa đảo, tấn công nguồn cung blockchain, tấn công giả mạo (phishing), tấn công SimSwap...nhằm mục đích thu lợi bất chính, gây tổn thất đáng kể cho người dùng.
Đáng chú ý, mới đây đơn vị bảo mật Scam Sniffer cho biết lần đầu tiên phát hiện "Wallet Drainers" xuất hiện trên kết quả tìm kiếm của Google và quảng cáo X (Twitter cũ). Trong suốt 9 tháng qua, hình thức mới của mã độc này đã khiến hơn 63.000 người trở thành nạn nhân bị tấn công tài sản với tổng thiệt hại lên tới 58 triệu USD.
Từ tháng 03/2023 đến nay, Scam Sniffer khẳng định họ đã theo dõi khoảng 10.072 trang web lừa đảo, kết hợp phân tích dữ liệu on-chain phát hiện hình thức này đã đánh cắp 58,98 triệu USD crypto từ 63.210 địa chỉ ví người dùng.
Để đảm bảo quá trình theo dõi được khả quan, đơn vị bảo mật này còn phối hợp với SlowMist và thám tử on-chain ZachXBT cùng điều tra thêm nhiều trang web có gắn mã độc "Wallet Drainers".
Kết quả thu được vô số trang web dự án crypto giả mạo có gắn mã độc được chạy quảng cáo, bao gồm: Zapper, Lido, Stargate, Defillama, Orbiter Finance và Radiant. Thậm chí còn có những quảng cáo lừa đảo hiển thị trên X (Twitter) có tên là "Ordinals Bubbles".
Phân tích sâu hơn, Scam Sniffer nhận thấy các trang web mạo danh này đã sử dụng hàng loạt các phương pháp đa dạng khác nhau để vượt qua hệ thống kiểm duyệt quảng cáo của Google và X. Cách thức thường được sử dụng đó là kỹ thuật "lừa đảo chuyển hướng" để làm cho các trang web mạo danh trở nên "uy tín" hơn.
Đơn vị bảo mật dẫn chứng ví dụ: Hackers sẽ làm cho quảng cáo trang web xuất hiện hàng đầu trong kết quả tìm kiếm và được hiển thị với địa chỉ website chính chủ, nhưng khi người dùng nhấn truy cập sẽ ngay lập tức được chuyển hướng đến trang web mạo danh!
Điều đáng nói, mã nguồn thiết lập và công cụ quản lý "Wallet Drainers" lại được các kẻ tấn công bày bán công khai trên các diễn đàn và hội nhóm lập trình viên. Không giống như các công cụ quản lý khác, phần mềm "Wallet Drainers" ngoài giá bán còn thu thêm phí cài đặt 20%.
Thêm vào đó, nếu người dùng có nhu cầu thiết lập cao hơn như tạo chữ ký giả mạo trên các trình duyệt dApps kết nối ví Web3 sẽ phải trả thêm tiền.
Có thể thấy, quảng cáo mạo danh đã trở thành một "cánh cửa" để những kẻ lừa đảo dễ dàng tiếp cận lượng lớn nạn nhân. Chúng có thể tuỳ chọn các mục tiêu cụ thể để liên tục khởi chạy các chiến dịch lừa đảo bằng các công cụ chạy quảng cáo trên Google và X với chi phí rất thấp, nhưng đổi lại lợi nhuận lên tới hàng chục triệu đô la trong thời gian ngắn. Chỉ tính riêng trong tháng 11/2023, các vụ tấn công crypto đã "cuỗm" mất 340 triệu USD tài sản của người dùng trên các nền tảng DeFi.
