$100K Returned — Malvertising Scam Foiled
Những kẻ lừa đảo người Nga đã mạo danh một dự án tiền điện tử thông qua quảng cáo độc hại và phần mềm độc hại đánh cắp thông tin. Chúng tôi đã phát hiện hoạt động này, khôi phục quyền truy cập ví và hoàn trả hơn 100.000 USD. Số tiền thu hồi được vượt quá số tiền cần hoàn trả đã được quyên góp cho @_SEAL_Org. Dưới đây là bảng phân tích chi tiết, các chỉ số nhận diện (IOCs) và những bài học rút ra.

Tổng quan
Một dự án tiền điện tử đã trở thành nạn nhân của một cuộc tấn công bằng kỹ thuật xã hội được ngụy trang dưới hình thức hợp tác quảng cáo hợp pháp. PhishDestroy đã khôi phục quyền truy cập vào ví và thu hồi hơn 100.000 đô la trong số tiền bị xâm phạm, sau đó chuyển khoản tiền thưởng được đề nghị sang một tổ chức bên ngoài để duy trì tính độc lập.
Những điều bạn cần biết
- Ví tiền điện tử đã bị xâm nhập; số tiền đã bị chuyển đi.
- Kết nối đã được khôi phục và $100K+ đã không thể ở lại cùng kẻ tấn công.
- Dự án đã treo thưởng, nhưng phần thưởng này đã bị từ chối và được chuyển sang @_SEAL_Org thay vào đó.
- Công việc này được thực hiện một cách độc lập dưới hình thức hoạt động cá nhân, không phải là công việc được trả lương.
Cách thức hoạt động của vụ lừa đảo
- Nạn nhân đã nhận được một đề xuất hợp tác/quảng cáo liên quan đến một trò chơi tiền điện tử.
- Cuộc tấn công có vẻ đáng tin cậy: trang web chuyên nghiệp, có tài khoản X (Twitter) đã được thiết lập từ lâu, các cuộc gọi video trông có vẻ hợp pháp.
- Trong các cuộc gọi, những kẻ tấn công đã yêu cầu cài đặt một ứng dụng “trình xem tài liệu tại nơi làm việc” để truy cập các tài liệu.
- "Người xem" là phần mềm độc hại đánh cắp dữ liệu.
- Những kẻ tấn công đã rút tiền, hoán đổi token giữa các chuỗi khối và chuyển tài sản sang ví của chính chúng.
Các biện pháp ứng phó đã được thực hiện
- Đã xác nhận bị xâm nhập và ngăn chặn mọi hoạt động tiếp theo.
- Đã khôi phục quyền truy cập ví cho chủ sở hữu hợp pháp.
- Đã đảm bảo an toàn và chuyển giao quyền kiểm soát ví nhận tiền của kẻ tấn công cho nhóm nạn nhân.
- Các bước theo dõi phối hợp nhằm giảm thiểu rủi ro còn lại.
Tăng cường bảo mật sau sự cố
Bảo mật thiết bị
- Hướng dẫn từng bước để xử lý các thiết bị bị nhiễm virus một cách an toàn
- Cách ly mạng, thu hồi phiên làm việc, luân chuyển thông tin xác thực/khóa, kế hoạch xây dựng lại hệ thống từ đầu
Cấu hình vận hành
- Máy trạm mới, sạch sẽ, dành riêng cho các hoạt động liên quan đến ví điện tử
- Hệ điều hành mới, chỉ tải xuống từ nhà cung cấp, ví phần cứng, số lượng tiện ích mở rộng tối thiểu, hồ sơ trình duyệt riêng biệt, xác thực hai yếu tố (2FA)
Chuẩn bị cho công tác pháp y
- Hướng dẫn về ảnh chụp nhanh đĩa và thu thập nhật ký hệ thống/ứng dụng
- Bảo quản chứng cứ phục vụ cho các cuộc điều tra pháp lý có thể xảy ra
Hiểu về “Adverting”
Quảng cáo là một hình thức lừa đảo xã hội theo phong cách kinh doanh, trong đó bọn tội phạm giả mạo các quy trình làm việc thông thường (mua quảng cáo, hợp tác, quan hệ công chúng) để lừa người dùng cài đặt các “phần mềm khách hàng” độc hại.
Các dấu hiệu cảnh báo thường gặp:
- "Hãy cài đặt công cụ quản lý quảng cáo/trợ lý của chúng tôi để đồng bộ hóa các mẫu quảng cáo"
- "Hãy sử dụng ứng dụng Zoom/Telegram tùy chỉnh của chúng tôi để thực hiện cuộc gọi"
- "Mở bộ tài liệu truyền thông/Thỏa thuận bảo mật (NDA) của chúng tôi qua trình xem an toàn"
Phần thưởng và sự độc lập
- Dự án đã trao phần thưởng vì số tiền thu hồi được đã vượt quá mức tổn thất ban đầu.
- PhishDestroy đã từ chối nhận phần thưởng.
- Toàn bộ khoản thặng dư đã được chuyển sang @_SEAL_Org.
- Điều này giúp duy trì tính độc lập — không có nguồn tài trợ hay nghĩa vụ nào.
Các nguyên tắc cốt lõi
- Chỉ có sự độc lập — không kèm theo ngân sách hay điều kiện ràng buộc nào.
- Ưu tiên phương pháp tập trung vào kết quả hơn là thảo luận.
- Phản đối mọi “khách hàng đặc biệt” hoặc phần mềm chưa được xác minh.
- Việc tiết lộ có chọn lọc nhằm hỗ trợ các nạn nhân, chứ không phải các tác nhân gây hại.
- Tạo áp lực trực tiếp lên cơ sở hạ tầng của kẻ tấn công.
Các khuyến nghị thực tiễn
Dành cho các dự án và nhóm
- Không bao giờ cài đặt các trình xem/phần mềm khách hàng/trình cập nhật tại nơi làm việc từ các bên thứ ba chưa được xác minh.
- Chỉ nên tải Zoom/Telegram từ các trang web chính thức của nhà cung cấp.
- Hãy tránh các liên kết được tài trợ liên quan đến ví, cầu nối và airdrop.
- Nên ưu tiên sử dụng ví phần cứng có tính năng lưu trữ cụm hạt giống ngoại tuyến.
- Nếu hệ thống bị xâm nhập: hủy các phiên làm việc, chuyển tiền, thay đổi khóa, cấp lại thông tin bí mật, và liên hệ ngay để được hỗ trợ.
Dành cho cộng đồng
- Báo cáo hoạt động đáng ngờ qua bot Telegram của chúng tôi.
- Truy cập hướng dẫn và tài nguyên về các biện pháp ứng phó quan trọng tại phishdestroy.io/hành-động-cấp-bách.
Kết luận
Mặc dù số tiền đã được chuyển đi, PhishDestroy khôi phục quyền truy cập và đảm bảo kẻ tấn công không thể giữ lại các tài sản đã đánh cắp. Bằng cách từ chối phần thưởng và chuyển số tiền dư thừa sang các mục đích khác, tổ chức này duy trì mô hình hoạt động độc lập, không nhận lương, tập trung vào việc ứng phó sự cố một cách nhanh chóng và hiệu quả.



