MistTrack gần đây đã tiết lộ một mối đe dọa mới trong không gian tiền điện tử liên quan đến việc đánh cắp tiền từ ví của người dùng, xuất hiện dưới dạng một lỗ hổng chiếm đoạt được tìm thấy trong trình điều khiển máy in.
Trong một bài đăng gần đây, chi nhánh an ninh mạng của SlowMist đã nâng cao nhận thức về một mối đe dọa khá mới, nhưng khó phát hiện, xâm nhập vào không gian tiền điện tử. Thông qua trình điều khiển máy in đã cài đặt, một chương trình backdoor độc hại có thể chiếm đoạt khay nhớ tạm của người dùng và thay thế địa chỉ ví tiền điện tử được sao chép của họ bằng địa chỉ của kẻ tấn công.
“Trình điều khiển chính thức do máy in này cung cấp chứa một chương trình cửa hậu. Nó sẽ chiếm đoạt địa chỉ ví trong bảng tạm của người dùng và thay thế bằng địa chỉ của kẻ tấn công,” viết nền tảng an ninh mạng web3.
Theo dữ liệu on-chain từ MistTrack, kẻ tấn công đã đánh cắp ít nhất 9.3086 Bitcoin (BTC) từ hàng chục địa chỉ on-chain. Dựa trên giá hiện tại, số tiền bị đánh cắp lên tới gần 1 triệu đô la hoặc khoảng 989.383 đô la.
Địa chỉ ví crypto đã hoạt động kể từ ngày 22 tháng 4 năm 2016. Trước các hoạt động gần đây, giao dịch trên chuỗi cuối cùng được phát hiện vào ngày 14 tháng 3 năm 2024 và liên quan đến nhiều sàn giao dịch crypto.
Lỗ hổng này hoạt động như thế nào?
Các trường hợp khai thác phần mềm độc hại ẩn, giống như trường hợp được MistTrack nêu bật, xảy ra do những kẻ tấn công phân phối mã độc thông qua các chương trình cần được cài đặt vào phần cứng của người dùng, chẳng hạn như laptop, máy tính hoặc thiết bị di động. Trong trường hợp này, kẻ tấn công đã chèn chương trình cửa sau thông qua một trình điều khiển máy in có vẻ hợp pháp.
Khi được cài đặt, driver theo dõi clipboard của người dùng—khu vực lưu trữ tạm thời nơi dữ liệu đã sao chép được giữ—để tìm kiếm địa chỉ ví tiền điện tử. Nếu người dùng sao chép một địa chỉ ví crypto dường như để gửi tiền, phần mềm độc hại sẽ thay thế nó bằng địa chỉ ví tiền điện tử của kẻ tấn công.
Khi người dùng dán những gì họ tin là địa chỉ ví crypto gốc từ clipboard và họ không nhận ra sự thay đổi bị đánh cắp, thì các khoản tiền sẽ được gửi đến ví của kẻ tấn công thay vì người nhận dự định.
Một lỗ hổng tương tự đã được CyberArk nêu bật vào tháng 3 năm 2025, liên quan đến một phần mềm độc hại có tên là MassJacker. Phần mềm độc hại này cho phép kẻ tấn công truy cập vào clipboard của người dùng để thay đổi địa chỉ ví tiền điện tử gốc và chuyển hướng các giao dịch tiền điện tử đến các ví do kẻ tấn công kiểm soát, hiệu quả là đánh cắp quỹ từ ví của nạn nhân.
Khác với lỗ hổng trình điều khiển máy in, MassJacker đã sử dụng hơn 750.000 địa chỉ duy nhất thay vì một địa chỉ lặp lại. Phần mềm độc hại đã có thể xâm nhập vào phần cứng của người dùng thông qua phần mềm bị vi phạm bản quyền và bẻ khóa được tải xuống từ các trang web không chính thức.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Lỗi máy in tiết lộ mối đe dọa mới đối với ví tiền điện tử
MistTrack gần đây đã tiết lộ một mối đe dọa mới trong không gian tiền điện tử liên quan đến việc đánh cắp tiền từ ví của người dùng, xuất hiện dưới dạng một lỗ hổng chiếm đoạt được tìm thấy trong trình điều khiển máy in.
Trong một bài đăng gần đây, chi nhánh an ninh mạng của SlowMist đã nâng cao nhận thức về một mối đe dọa khá mới, nhưng khó phát hiện, xâm nhập vào không gian tiền điện tử. Thông qua trình điều khiển máy in đã cài đặt, một chương trình backdoor độc hại có thể chiếm đoạt khay nhớ tạm của người dùng và thay thế địa chỉ ví tiền điện tử được sao chép của họ bằng địa chỉ của kẻ tấn công.
“Trình điều khiển chính thức do máy in này cung cấp chứa một chương trình cửa hậu. Nó sẽ chiếm đoạt địa chỉ ví trong bảng tạm của người dùng và thay thế bằng địa chỉ của kẻ tấn công,” viết nền tảng an ninh mạng web3.
Theo dữ liệu on-chain từ MistTrack, kẻ tấn công đã đánh cắp ít nhất 9.3086 Bitcoin (BTC) từ hàng chục địa chỉ on-chain. Dựa trên giá hiện tại, số tiền bị đánh cắp lên tới gần 1 triệu đô la hoặc khoảng 989.383 đô la.
Địa chỉ ví crypto đã hoạt động kể từ ngày 22 tháng 4 năm 2016. Trước các hoạt động gần đây, giao dịch trên chuỗi cuối cùng được phát hiện vào ngày 14 tháng 3 năm 2024 và liên quan đến nhiều sàn giao dịch crypto.
Lỗ hổng này hoạt động như thế nào?
Các trường hợp khai thác phần mềm độc hại ẩn, giống như trường hợp được MistTrack nêu bật, xảy ra do những kẻ tấn công phân phối mã độc thông qua các chương trình cần được cài đặt vào phần cứng của người dùng, chẳng hạn như laptop, máy tính hoặc thiết bị di động. Trong trường hợp này, kẻ tấn công đã chèn chương trình cửa sau thông qua một trình điều khiển máy in có vẻ hợp pháp.
Khi được cài đặt, driver theo dõi clipboard của người dùng—khu vực lưu trữ tạm thời nơi dữ liệu đã sao chép được giữ—để tìm kiếm địa chỉ ví tiền điện tử. Nếu người dùng sao chép một địa chỉ ví crypto dường như để gửi tiền, phần mềm độc hại sẽ thay thế nó bằng địa chỉ ví tiền điện tử của kẻ tấn công.
Khi người dùng dán những gì họ tin là địa chỉ ví crypto gốc từ clipboard và họ không nhận ra sự thay đổi bị đánh cắp, thì các khoản tiền sẽ được gửi đến ví của kẻ tấn công thay vì người nhận dự định.
Một lỗ hổng tương tự đã được CyberArk nêu bật vào tháng 3 năm 2025, liên quan đến một phần mềm độc hại có tên là MassJacker. Phần mềm độc hại này cho phép kẻ tấn công truy cập vào clipboard của người dùng để thay đổi địa chỉ ví tiền điện tử gốc và chuyển hướng các giao dịch tiền điện tử đến các ví do kẻ tấn công kiểm soát, hiệu quả là đánh cắp quỹ từ ví của nạn nhân.
Khác với lỗ hổng trình điều khiển máy in, MassJacker đã sử dụng hơn 750.000 địa chỉ duy nhất thay vì một địa chỉ lặp lại. Phần mềm độc hại đã có thể xâm nhập vào phần cứng của người dùng thông qua phần mềm bị vi phạm bản quyền và bẻ khóa được tải xuống từ các trang web không chính thức.