Mark Koh đã mất khoản tài sản mã hóa trị giá sáu chữ số sau khi tải trình khởi động game MetaToy giả mạo chứa phần mềm độc hại tinh vi, có khả năng đánh cắp thông tin ví ngay cả khi ví không được mở.
Một doanh nhân tại Singapore đã trở thành nạn nhân của chiêu trò lừa đảo tinh vi khi mất toàn bộ danh mục tài sản mã hóa sau khi tải xuống phần mềm độc hại được ngụy trang dưới dạng game thử nghiệm. Vụ việc một lần nữa cảnh báo về mức độ nguy hiểm ngày càng gia tăng của các cuộc tấn công mạng nhắm vào cộng đồng tài sản mã hóa.
Mark Koh, nhà sáng lập tổ chức hỗ trợ nạn nhân RektSurvivor, đã chia sẻ trải nghiệm của mình trong cuộc phỏng vấn với tờ Lianhe Zaobao và trên LinkedIn. Vào ngày 5 tháng 12, Koh bắt gặp một cơ hội thử nghiệm beta trên Telegram cho game trực tuyến có tên MetaToy, một cái tên sau này được xác định là chiêu trò lừa đảo được dàn dựng cực kỳ chuyên nghiệp.
Là một nhà đầu tư đã có kinh nghiệm đầu tư và thẩm định nhiều dự án Web3, Koh tin rằng MetaToy là hợp pháp dựa trên vẻ ngoài chuyên nghiệp của website và Discord của dự án, cùng với sự phản hồi nhanh chóng từ các thành viên trong đội ngũ. Tuy nhiên, việc tải trình khởi động game của MetaToy đã khiến phần mềm độc hại được cài đặt lên máy tính của anh.
Malware vượt qua nhiều lớp bảo vệ
Mặc dù phần mềm diệt virus Norton đã cảnh báo hoạt động đáng ngờ và Koh đã thực hiện đầy đủ các biện pháp phòng ngừa như quét toàn bộ hệ thống, xóa các tệp và registry đáng ngờ, thậm chí cài đặt lại Windows 11, nhưng trong vòng 24 giờ sau đó, toàn bộ các ví phần mềm mà anh từng kết nối với các tiện ích mở rộng trình duyệt Rabby và Phantom đều bị rút sạch. Tổng thiệt hại lên đến 14.189 USD, tương đương số tài sản mã hóa anh tích lũy trong tám năm.
Điều đáng chú ý là Koh thậm chí không đăng nhập vào ứng dụng ví của mình và cụm từ khôi phục được lưu trữ tách biệt, không có gì được lưu dưới dạng số. Anh cho biết cuộc tấn công rất có thể là sự kết hợp giữa việc đánh cắp mã thông báo xác thực cùng với lỗ hổng zero-day của Google Chrome được phát hiện lần đầu vào tháng 9, có thể cho phép thực thi mã độc hại.
Koh nhấn mạnh rằng cuộc tấn công này có nhiều vector tấn công khác nhau, vì anh đã quét và xử lý tất cả các tệp đáng ngờ có thể nhận diện được, đồng thời Norton đã chặn được hai lần tấn công chiếm quyền thư viện liên kết động. Phần mềm độc hại còn cài đặt thêm một quy trình theo lịch độc hại, cho thấy mức độ phức tạp của cuộc tấn công.
Trước mức độ tinh vi như vậy, Koh khuyến cáo các mục tiêu tiềm năng, đặc biệt là các nhà đầu tư thiên thần hoặc lập trình viên có khả năng tải các trình khởi động beta, cần thực hiện thêm các biện pháp an toàn. Anh khuyên rằng ngay cả khi đã áp dụng các biện pháp phòng ngừa thông thường, vẫn nên tháo gỡ và xóa cụm từ khôi phục khỏi các ví nóng dạng trình duyệt khi không sử dụng. Nếu có thể, nên sử dụng khóa riêng thay vì cụm từ khôi phục để các ví phái sinh khác không bị đặt vào rủi ro.
Koh đã báo cáo vụ việc với cảnh sát Singapore, và phía cảnh sát đã xác nhận với tờ Lianhe Zaobao rằng họ đã nhận được đơn trình báo. Koh cũng kết nối với một nạn nhân khác tên Daniel, cũng sinh sống tại Singapore và đang liên lạc với kẻ lừa đảo để thu thập thêm thông tin.
Vụ việc diễn ra trong bối cảnh tội phạm mạng ngày càng sử dụng các kỹ thuật tinh vi hơn. Vào tháng 10, McAfee phát hiện hacker sử dụng các kho lưu trữ GitHub để kết nối phần mềm độc hại ngân hàng với các máy chủ mới mỗi khi máy chủ trước đó bị gỡ bỏ. Năm nay cũng ghi nhận việc sử dụng công cụ AI giả để phát tán phần mềm độc hại đánh cắp tài sản mã hóa, cùng với Captcha giả và các yêu cầu kéo độc hại được cài cắm vào các tiện ích mở rộng mã Ethereum.
