Tính đến tháng 4/2024, gần 2.000 trang WordPress bị tấn công hiện đang hiển thị các quảng cáo NFT và giảm giá giả mạo để đánh lừa người dùng kết nối ví của họ với các công cụ đánh cắp tiền điện tử và tự động rút hết tiền trong ví.
Công ty bảo mật website Sucuri tiết lộ vào tháng trước rằng các hacker đã xâm nhập vào khoảng 1.000 trang WordPress để quảng bá các công cụ đánh cắp tiền điện tử, chúng được quảng bá thông qua quảng cáo lừa đảo và video YouTube.
Những kẻ tấn công đã không thành công với chiến dịch ban đầu của mình. Sau đó, chúng bắt đầu triển khai các kịch bản tấn công trên các trang web bị xâm nhập để biến trình duyệt web của khách truy cập thành các công cụ bẻ khóa mật khẩu quản trị viên của các trang web khác.
Các cuộc tấn công này liên quan đến một cụm khoảng 1.700 trang web tấn công bẻ khóa mật khẩu, bao gồm các ví dụ nổi bật như trang web của Hiệp hội Ngân hàng Tư nhân Ecuador. Mục tiêu là xây dựng một nhóm các trang web đủ lớn để cuối cùng chúng có thể kiếm nhiều tiền trong một chiến dịch phủ sóng rộng rãi hơn.
Theo nhóm nghiên cứu an ninh mạng MalwareHunterTeam, những kẻ tấn công hiện đã bắt đầu kiếm tiền từ nhóm các trang web hiển thị các quảng cáo ưu đãi NFT và giảm giá tiền điện tử giả mạo.
Mặc dù không rõ có bao nhiêu trang web bị xâm nhập hiện đang hiển thị các công cụ đánh cắp tiền điện tử này, nhưng công cụ tìm kiếm Urlscan cho thấy hơn 2.000 trang web bị xâm nhập đã tải các phần mềm độc hại trong bảy ngày qua.
Hiện tại không phải tất cả các web đều hiện ra quảng cáo tiền điện tử để lừa đảo, nhưng điều này có thể thay đổi bất cứ lúc nào.
Quảng cáo dẫn đến công cụ đánh cắp tiền điện tử
Các mã nguồn gây hại được tải từ domain dynamic-linx[.]com, đây cũng là đường link URL mà Sucuri phát hiện vào tháng trước.
Đoạn mã này sẽ kiểm tra một cookie cụ thể ("haw"), và nếu nó không tồn tại, nó sẽ chèn các mã nguồn gây hại vào trang web, như được hiển thị bên dưới.
Mã độc hại sẽ hiển thị ngẫu nhiên một cửa sổ quảng cáo, mời gọi nạn nhân kết nối ví của họ để đào một NFT hấp dẫn hoặc nhận chiết khấu trên trang web.
BleepingComputer đã kiểm tra nhiều trang web lưu trữ các đoạn mã này và mặc dù ban đầu có một số vấn đề khiến các cửa sổ bật lên không kết nối với ví, sau đó chúng lại cố gắng xâm nhập ví.
Khi bạn nhấp vào nút kết nối, các đoạn mã ban đầu sẽ hiển thị hỗ trợ kết nối với ví MetaMask, Safe Wallet, Coinbase, Ledger và Trust Wallet. Tuy nhiên, nó cũng hỗ trợ kết nối với 'WalletConnect' và nhiều ví khác, mở rộng đáng kể phạm vi mục tiêu.
Một khi người truy cập kết nối trang Web3 với ví của họ, công cụ đánh cắp tiền điện tử sẽ đánh cắp tất cả tiền và NFT trong tài khoản và gửi chúng cho kẻ tấn công.
Cần lưu ý rằng MetaMask sẽ hiển thị cảnh báo khi truy cập các trang web bị nhiễm các mã nguồn độc hại này.
Công cụ đánh cắp tiền điện tử đã trở thành một vấn đề nghiêm trọng đối với cộng đồng tiền điện tử, với việc thủ phạm tấn công các tài khoản X nổi tiếng và tạo video AI và quảng cáo lừa đảo để quảng bá các trang web sử dụng mã nguồn độc hại.
Để tránh mất tài sản kỹ thuật số vào tay những kẻ điều hành công cụ đánh cắp tiền điện tử và tội phạm mạng khác, hãy chỉ kết nối ví của bạn với các nền tảng đáng tin cậy.
Cho dù một trang web có vẻ uy tín đến đâu, hãy thận trọng với các cửa sổ quảng cáo, đặc biệt là khi chúng không phù hợp với chủ đề chính hoặc thiết kế của trang web.
Theo BleepingComputer.
