Phần Mềm Độc Hại Qua MSI Installer Nhắm Mục Tiêu Các Nhà Giao Dịch Tiền Điện Tử Từ Tháng 6 Năm 2025
Một chiến dịch phần mềm độc hại tinh vi nhắm vào các nhà giao dịch tiền điện tử đã âm thầm hoạt động từ tháng 6 năm 2025, sử dụng một thủ thuật tưởng chừng đơn giản nhưng cực kỳ hiệu quả: nhúng cứng thông tin xác thực SSH và token GitLab trực tiếp bên trong các tệp MSI installer. Chiến dịch này đã xâm phạm hơn 90 máy chủ và được thiết kế đặc biệt để chiếm quyền kiểm soát các tài khoản giao dịch tiền điện tử bằng cách kết hợp việc trinh sát hệ thống, ghi lại thao tác bàn phím và đánh cắp dữ liệu trình duyệt thành một chuỗi tấn công phối hợp duy nhất. Đối với bất kỳ ai đang nắm giữ hoặc tích cực giao dịch tài sản kỹ thuật số, cơ chế của chiến dịch này cho thấy tại sao chỉ dựa vào ví phần cứng không phải là biện pháp bảo vệ đủ hiệu quả.
Chiến Dịch MSI Installer Hoạt Động Như Thế Nào: Trinh Sát, Ghi Thao Tác Bàn Phím và Đánh Cắp Dữ Liệu Trình Duyệt
Cuộc tấn công bắt đầu khi mục tiêu chạy một tệp MSI installer trông có vẻ hợp lệ — định dạng gói Windows tiêu chuẩn được vô số nhà cung cấp phần mềm sử dụng. Sau khi được thực thi, installer triển khai một bộ phần mềm độc hại gồm ba mô-đun hoạt động tuần tự.
Mô-đun đầu tiên thực hiện trinh sát hệ thống, lập bản đồ cấu hình máy chủ bị nhiễm, môi trường mạng và phần mềm đã cài đặt. Giai đoạn này giúp kẻ tấn công có được bức tranh rõ ràng về những gì chúng đang làm việc trước khi tiến hành xâm nhập sâu hơn. Mô-đun thứ hai kích hoạt một keylogger, ghi lại mọi thứ mà nạn nhân gõ, bao gồm thông tin đăng nhập sàn giao dịch, mã xác thực hai yếu tố và cụm mật khẩu ví. Mô-đun thứ ba nhắm vào dữ liệu được lưu trong trình duyệt, trích xuất mật khẩu đã lưu, cookie phiên và các mục tự điền có thể được sử dụng để vượt qua xác thực trên các nền tảng tài chính mà không cần trực tiếp sử dụng mật khẩu tài khoản.
Sự kết hợp này có chủ đích. Keylogger ghi lại thông tin xác thực đang được sử dụng; đánh cắp trình duyệt ghi lại thông tin xác thực đang được lưu trữ. Cùng nhau, chúng để lại rất ít kẽ hở.
Tại Sao Thông Tin Xác Thực Được Nhúng Cứng Là Rủi Ro Hệ Thống
Điều làm cho chiến dịch này đặc biệt đáng chú ý từ góc độ nghiên cứu bảo mật không chỉ là những gì nó gây ra cho nạn nhân, mà còn là những gì nó phơi bày về chính những kẻ tấn công. Việc nhúng cứng thông tin xác thực SSH và token GitLab bên trong installer có nghĩa là phần mềm độc hại mang theo một liên kết trực tiếp, tĩnh dẫn ngược về cơ sở hạ tầng backend của chính nó.
Đây là một thất bại về bảo mật vận hành từ phía kẻ tấn công, và không phải là điều duy nhất xảy ra với nhóm này. Khi các nhà phát triển — dù là xây dựng phần mềm hợp lệ hay công cụ độc hại — nhúng cứng các token xác thực vào các tệp đã biên dịch hoặc đóng gói, những thông tin xác thực đó trở nên có thể đọc được bởi bất kỳ ai kiểm tra tệp nhị phân. Đối với các nhà bảo vệ, thông tin xác thực được nhúng cứng trong phần mềm độc hại có thể phơi bày các máy chủ chỉ huy và kiểm soát, kho lưu trữ mã và thậm chí cả quy trình phát triển nội bộ của một tác nhân đe dọa. Đối với nạn nhân, cùng một lỗ hổng có thể giúp điều tra viên theo dõi kẻ tấn công lại không cung cấp bất kỳ sự bảo vệ nào sau khi sự xâm phạm đã xảy ra.
Mô hình này phản ánh các xu hướng rộng hơn trong phần mềm độc hại nhắm mục tiêu đám mây. Như đã được đề cập trong báo cáo về phần mềm độc hại PCPJack khai thác thông tin xác thực đám mây, các framework đánh cắp thông tin xác thực ngày càng coi các token được bảo mật không đúng cách là mục tiêu dễ dàng — dù những token đó thuộc về nạn nhân hay, trong trường hợp này, thuộc về chính những kẻ tấn công.
Ai Đang Bị Nhắm Mục Tiêu và Cách Các Nhà Giao Dịch Tiền Điện Tử Bị Chọn Lọc
Sự tập trung của chiến dịch vào các nhà giao dịch tiền điện tử không phải ngẫu nhiên. Các tài khoản tiền điện tử trình bày một hồ sơ mục tiêu đặc biệt hấp dẫn: chúng thường nắm giữ giá trị thanh khoản đáng kể, các giao dịch là không thể đảo ngược sau khi được phát tán lên blockchain, và nhiều nhà giao dịch sử dụng giao diện dựa trên trình duyệt để quản lý các vị thế trên nhiều sàn giao dịch cùng một lúc.
Điểm cuối cùng là đặc biệt quan trọng. Giao dịch dựa trên trình duyệt có nghĩa là các phiên được lưu trong trình duyệt, cookie và thông tin xác thực đã lưu là con đường trực tiếp để truy cập tài khoản. Kẻ tấn công nắm bắt được một cookie phiên hợp lệ từ trình duyệt thường có thể xác thực vào một sàn giao dịch mà không kích hoạt các lời nhắc mật khẩu hoặc hai yếu tố, vì phiên đó đã được xác thực rồi. Thành phần keylogger sau đó bao phủ bất kỳ tình huống nào khi nhà giao dịch đăng xuất và đăng nhập lại, ghi lại thông tin xác thực mới trong thời gian thực.
Với hơn 90 máy chủ đã được xác nhận bị xâm phạm, quy mô của chiến dịch cho thấy một hoạt động có chủ đích nhưng dai dẳng hơn là một cách tiếp cận tấn công bừa bãi. Các nhà giao dịch đã tải xuống phần mềm từ các nguồn không chính thức hoặc chưa được xác minh kể từ tháng 6 năm 2025 có nguy cơ cao nhất.
Cách VPN, Trình Quản Lý Thông Tin Xác Thực và Vệ Sinh Trình Duyệt Giúp Giảm Bề Mặt Tấn Công
Không có một công cụ đơn lẻ nào loại bỏ hoàn toàn rủi ro mà chiến dịch này đại diện, nhưng một số biện pháp thực hành có thể giảm đáng kể mức độ phơi lộ.
VPN không ngăn phần mềm độc hại thực thi sau khi nó đã ở trên máy, nhưng nó làm giảm rủi ro chặn lưu lượng và có thể hạn chế khả năng hiển thị ở cấp độ mạng mà kẻ tấn công đạt được trong giai đoạn trinh sát. Quan trọng hơn, việc sử dụng VPN nhất quán trên tất cả các thiết bị giúp thiết lập vệ sinh mạng như một thói quen thay vì một biện pháp phòng ngừa muộn màng.
Trình quản lý thông tin xác thực giải quyết một trong những vectơ tấn công cốt lõi ở đây: mật khẩu được lưu trong trình duyệt. Khi thông tin xác thực được lưu trữ trong một trình quản lý chuyên dụng, được mã hóa thay vì kho lưu trữ mật khẩu gốc của trình duyệt, việc đánh cắp dữ liệu trình duyệt sẽ thu được ít thông tin có thể sử dụng hơn nhiều. Hầu hết các trình quản lý thông tin xác thực cũng hỗ trợ tạo mật khẩu duy nhất, phức tạp cho mỗi tài khoản, điều này giới hạn phạm vi thiệt hại nếu một bộ thông tin xác thực bị thu thập.
Vệ sinh trình duyệt cũng quan trọng. Các nhà giao dịch nên cân nhắc sử dụng một hồ sơ trình duyệt chuyên dụng, hoặc một trình duyệt riêng biệt hoàn toàn, chỉ dành riêng cho việc truy cập sàn giao dịch. Hồ sơ đó không nên có mật khẩu đã lưu, không có tiện ích mở rộng nào ngoài những gì thực sự cần thiết, và nên được xóa cookie sau mỗi phiên. Cookie phiên không thể bị đánh cắp từ một phiên không còn tồn tại.
Cuối cùng, kỷ luật cài đặt phần mềm là tuyến phòng thủ đầu tiên. Các tệp MSI thu được bên ngoài các trang web nhà cung cấp chính thức hoặc cửa hàng ứng dụng mang rủi ro thực sự. Xác minh hàm băm tệp, kiểm tra chữ ký nhà xuất bản và coi bất kỳ installer nào yêu cầu vô hiệu hóa phần mềm bảo mật là dấu hiệu cảnh báo tức thì có thể ngăn chặn việc thực thi ban đầu — điều làm cho mọi thứ khác trở nên có thể.
Điều Này Có Ý Nghĩa Gì Đối Với Bạn
Nếu bạn tích cực giao dịch tiền điện tử hoặc nắm giữ tài sản kỹ thuật số có thể truy cập thông qua giao diện dựa trên trình duyệt, chiến dịch này là một cảnh báo trực tiếp. Ví phần cứng bảo vệ các quỹ trên chuỗi, nhưng chúng không bảo vệ tài khoản sàn giao dịch — và đó chính xác là nơi phần mềm độc hại này được thiết kế để gây thiệt hại.
Hãy bắt đầu bằng cách kiểm tra xem thông tin xác thực của bạn hiện đang được lưu ở đâu. Nếu mật khẩu sàn giao dịch của bạn được lưu trong trình duyệt, hãy chuyển chúng sang trình quản lý thông tin xác thực chuyên dụng và tạo mật khẩu mới, duy nhất cho từng nền tảng. Xem lại các tiện ích mở rộng trình duyệt của bạn và xóa bất cứ thứ gì bạn không tích cực sử dụng. Kiểm tra lịch sử tải xuống của bạn để tìm bất kỳ MSI installer nào được tải từ tháng 6 năm 2025 từ các nguồn bạn không thể xác minh.
Sự tinh vi ngày càng tăng của các hoạt động đánh cắp thông tin xác thực — từ các chiến dịch token được nhúng cứng được mô tả ở đây đến việc khai thác nhiều CVE được ghi chép trong các framework nhắm mục tiêu đám mây — làm cho vệ sinh thông tin xác thực chủ động trở thành một trong những biện pháp phòng thủ hiệu quả nhất có sẵn cho người dùng cá nhân. Dành một giờ để kiểm tra thiết lập của bạn hôm nay sẽ ít đau đớn hơn đáng kể so với việc phục hồi sau một vụ chiếm đoạt tài khoản vào ngày mai.
