Một làn sóng phần mềm độc hại mới đang quét qua thế giới tài sản kỹ thuật số, và lần này các tác nhân thông minh hơn và đa năng hơn bao giờ hết. Đứng đầu làn sóng mới là Librarian Ghouls, một nhóm APT ( tập trung vào Nga, và Crocodilus, một phần mềm đánh cắp đa nền tảng có nguồn gốc từ trojan ngân hàng Android.
“Chiến dịch mới nhất của Librarian Ghouls sử dụng phần mềm hợp pháp như AnyDesk để ẩn các trình khai thác tiền điện tử và phần mềm độc hại ghi lại phím. Khi chúng đã vào, chúng sẽ im lặng—cho đến nửa đêm.”
— Kaspersky Threat Intelligence )Ngày 9 tháng 6, 2025(
Thư viện Ma: Phần mềm độc hại "Hợp pháp"
Nhóm APT này ngụy trang các cuộc tấn công dưới dạng các tài liệu thông thường )ví dụ: orders( thanh toán trong email lừa đảo. Sau khi mở, phần mềm độc hại của họ:
Cài đặt 4t Tray Minimizer để ẩn các tiến trình độc hại.
Triển khai AnyDesk để truy cập từ xa và XMRig để khai thác Monero.
Đánh cắp thông tin đăng nhập ví tiền điện tử và khóa registry.
Mới trong năm 2025: Kích hoạt vào lúc nửa đêm — phần mềm độc hại chỉ hoạt động vào ban đêm để tránh bị phát hiện.
Cuộc tấn công của họ không chỉ đơn thuần là cướp bóc bằng sức mạnh — mà thay vào đó, họ kết hợp chuyên môn kỹ thuật với sự cưỡng ép tâm lý, tấn công vào mọi bước của chu trình crypto.
Librarian Ghouls cũng đã tối ưu hóa trình tải của họ để giả mạo các ứng dụng kinh doanh hợp pháp, thường cấy phần mềm độc hại của họ vào những tài liệu dường như vô hại như lệnh thanh toán hoặc hóa đơn. Khi nạn nhân sau đó thực thi tệp, những người cài đặt phần mềm độc hại sẽ âm thầm cài đặt các chương trình như 4t Tray Minimizer để che dấu vết của nó và AnyDesk để điều khiển từ xa.
Nhưng điều độc đáo nhất về nhóm này là họ sử dụng các trình kích hoạt dựa trên thời gian: phần mềm độc hại chỉ kích hoạt vào ban đêm, làm giảm cơ hội bị các nhóm bảo mật phát hiện trong giờ làm việc. Nó thực hiện điều này bằng cách sử dụng chiến lược ban đêm cho phép nó đánh cắp thông tin đăng nhập ví, khai thác Monero bằng XMRig và lấy cắp dữ liệu nhạy cảm mà không bị phát hiện.
Các nạn nhân có thể không nhận ra rằng có điều gì đó không ổn cho đến vài tuần sau, khi ví của họ thường đã bị rút cạn và hệ thống của họ bị xâm phạm vượt quá mức phục hồi đơn giản.
Crocodilus: Bộ thu thập cụm từ hạt giống
Ban đầu là một trojan ngân hàng của Thổ Nhĩ Kỳ, Crocodilus hiện nay nhắm vào người dùng crypto toàn cầu thông qua:
Ứng dụng giả mạo dưới danh nghĩa Coinbase, MetaMask, hoặc công cụ khai thác.
Máy thu thập cụm từ hạt giống tự động quét thiết bị để tìm dữ liệu ví.
Kỹ thuật xã hội qua các liên hệ "Hỗ trợ Ngân hàng" giả mạo trên điện thoại của bạn.
“Bộ phân tích mới của Crocodilus trích xuất cụm từ hạt giống với độ chính xác phẫu thuật. Chỉ một cú nhấp chuột vào một liên kết X giả, và ví của bạn sẽ biến mất.”
— Đội ngũ MTI của ThreatFabric )Ngày 3 tháng 6 năm 2025(
Crocodilus, mặt khác, đã nhanh chóng phát triển từ một mối đe dọa khu vực thành một mối đe dọa toàn cầu. Không còn bị giới hạn chỉ trên Android, giờ đây nó nhắm đến các tiện ích mở rộng trình duyệt độc hại, các ứng dụng máy tính để bàn giả mạo và thậm chí cả các bot Telegram để mở rộng phạm vi. Tính năng chết người nhất của phần mềm độc hại là khả năng đánh cắp cụm từ hạt giống từ dữ liệu clipboard, ảnh chụp màn hình và dữ liệu tự động điền, đôi khi ngay cả trước khi nạn nhân nhận ra mình bị nhắm đến.
Các tác nhân đe dọa bắt đầu cung cấp quyền truy cập vào các ví bị xâm nhập để bán trên các diễn đàn darknet, thiết lập một thị trường chợ đen phát triển mạnh cho các tài sản tiền điện tử bị đánh cắp đang phát triển về quy mô và độ phức tạp. Đôi khi, Crocodilus thậm chí còn spam các số "hỗ trợ" vô tội vào điện thoại của nạn nhân, lừa người dùng cung cấp thông tin nhạy cảm dưới vỏ bọc hỗ trợ kỹ thuật.
Liên kết X giả: Bây giờ với Deepfake theo thời gian thực
Tin tặc đang khai thác X )Twitter( với:
Tài khoản được xác minh bị đánh cắp quảng bá các airdrop giả mạo.
Mã QR liên kết đến các hợp đồng thông minh hút tiền.
Hỗ trợ trò chuyện deepfake AI bắt chước các đại lý thực.
Ví dụ thực tế: Vào tháng 5 năm 2025, một buổi phát trực tiếp giả mạo “Elon Musk” đã kêu gọi người xem quét mã QR để nhận quà “TeslaCoin”. Nạn nhân đã mất hơn 200K đô la chỉ trong 30 phút.
Một trong những xu hướng đáng lo ngại nhất là sự phát triển của các cuộc trò chuyện hỗ trợ deepfake theo thời gian thực. Tin tặc sử dụng các hình đại diện bị ảnh hưởng bởi AI để giả mạo các thương hiệu hoặc người có ảnh hưởng nổi tiếng trên X )Twitter(, cung cấp "trợ giúp" chân thực, tương tác khiến nạn nhân bị lừa chia sẻ cụm từ hạt giống hoặc khóa riêng của họ.
Các deepfake này thuyết phục đến mức ngay cả những người dùng crypto dày dạn kinh nghiệm cũng đã bị cuốn vào, với các avatar bắt chước giọng nói, âm điệu và thậm chí ngôn ngữ cơ thể của những nhân vật nổi tiếng trong cộng đồng.
Trong một trong những trường hợp nổi bật nhất, một buổi phát trực tiếp deepfake "Elon Musk" trên X đã quảng cáo một chương trình tặng thưởng TeslaCoin giả mạo và đã gây ra hàng trăm nghìn đô la thiệt hại chỉ trong vài phút.
Mẹo OPSEC: Cách để an toàn
Từ Hướng dẫn năm 2025 của Quillaudits:
| Hành động | Tại sao điều này quan trọng |
| --- | --- |
| Sử dụng một thiết bị chuyên dụng | Tách biệt hoạt động tiền điện tử khỏi việc duyệt web hàng ngày |
| Hủy phê duyệt | Phần mềm độc hại không thể rút tiền từ ví mà bạn đã khóa |
| Tránh Wi-Fi công cộng | Crocodilus phát triển trên các mạng không an toàn |
| Xác minh các liên kết X ngoại tuyến | Lừa đảo deepfake biến mất khi được kiểm tra chéo |
Để bảo vệ chống lại các mối đe dọa như vậy, người dùng sẽ phải sử dụng phương pháp OPSEC nhiều lớp. Các chuyên gia khuyên bạn nên sử dụng ví cứng để đầu tư có giá trị cao, cho phép xác thực hai yếu tố và không bao giờ chia sẻ cụm từ hạt giống - không bao giờ ngay cả với nhân viên hỗ trợ được cho là hoặc tài khoản xã hội hợp pháp.
Các kiểm tra phê duyệt ví thường xuyên, giữ cho phần mềm được cập nhật và tách biệt các hoạt động tiền điện tử vào các thiết bị sử dụng một lần có thể giảm thiểu rủi ro tương tự. Khi các kẻ tấn công ngày càng trở nên sáng tạo và phát minh hơn, phòng thủ tốt nhất là giữ cho mình được giáo dục tốt và đủ hoài nghi.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Bạn có thể tin tưởng rằng tiền điện tử của mình an toàn khi bạn ngủ không?
Một làn sóng phần mềm độc hại mới đang quét qua thế giới tài sản kỹ thuật số, và lần này các tác nhân thông minh hơn và đa năng hơn bao giờ hết. Đứng đầu làn sóng mới là Librarian Ghouls, một nhóm APT ( tập trung vào Nga, và Crocodilus, một phần mềm đánh cắp đa nền tảng có nguồn gốc từ trojan ngân hàng Android.
Thư viện Ma: Phần mềm độc hại "Hợp pháp"
Nhóm APT này ngụy trang các cuộc tấn công dưới dạng các tài liệu thông thường )ví dụ: orders( thanh toán trong email lừa đảo. Sau khi mở, phần mềm độc hại của họ:
Mới trong năm 2025: Kích hoạt vào lúc nửa đêm — phần mềm độc hại chỉ hoạt động vào ban đêm để tránh bị phát hiện.
Cuộc tấn công của họ không chỉ đơn thuần là cướp bóc bằng sức mạnh — mà thay vào đó, họ kết hợp chuyên môn kỹ thuật với sự cưỡng ép tâm lý, tấn công vào mọi bước của chu trình crypto.
Librarian Ghouls cũng đã tối ưu hóa trình tải của họ để giả mạo các ứng dụng kinh doanh hợp pháp, thường cấy phần mềm độc hại của họ vào những tài liệu dường như vô hại như lệnh thanh toán hoặc hóa đơn. Khi nạn nhân sau đó thực thi tệp, những người cài đặt phần mềm độc hại sẽ âm thầm cài đặt các chương trình như 4t Tray Minimizer để che dấu vết của nó và AnyDesk để điều khiển từ xa.
Nhưng điều độc đáo nhất về nhóm này là họ sử dụng các trình kích hoạt dựa trên thời gian: phần mềm độc hại chỉ kích hoạt vào ban đêm, làm giảm cơ hội bị các nhóm bảo mật phát hiện trong giờ làm việc. Nó thực hiện điều này bằng cách sử dụng chiến lược ban đêm cho phép nó đánh cắp thông tin đăng nhập ví, khai thác Monero bằng XMRig và lấy cắp dữ liệu nhạy cảm mà không bị phát hiện.
Các nạn nhân có thể không nhận ra rằng có điều gì đó không ổn cho đến vài tuần sau, khi ví của họ thường đã bị rút cạn và hệ thống của họ bị xâm phạm vượt quá mức phục hồi đơn giản.
Crocodilus: Bộ thu thập cụm từ hạt giống
Ban đầu là một trojan ngân hàng của Thổ Nhĩ Kỳ, Crocodilus hiện nay nhắm vào người dùng crypto toàn cầu thông qua:
Crocodilus, mặt khác, đã nhanh chóng phát triển từ một mối đe dọa khu vực thành một mối đe dọa toàn cầu. Không còn bị giới hạn chỉ trên Android, giờ đây nó nhắm đến các tiện ích mở rộng trình duyệt độc hại, các ứng dụng máy tính để bàn giả mạo và thậm chí cả các bot Telegram để mở rộng phạm vi. Tính năng chết người nhất của phần mềm độc hại là khả năng đánh cắp cụm từ hạt giống từ dữ liệu clipboard, ảnh chụp màn hình và dữ liệu tự động điền, đôi khi ngay cả trước khi nạn nhân nhận ra mình bị nhắm đến.
Các tác nhân đe dọa bắt đầu cung cấp quyền truy cập vào các ví bị xâm nhập để bán trên các diễn đàn darknet, thiết lập một thị trường chợ đen phát triển mạnh cho các tài sản tiền điện tử bị đánh cắp đang phát triển về quy mô và độ phức tạp. Đôi khi, Crocodilus thậm chí còn spam các số "hỗ trợ" vô tội vào điện thoại của nạn nhân, lừa người dùng cung cấp thông tin nhạy cảm dưới vỏ bọc hỗ trợ kỹ thuật.
Liên kết X giả: Bây giờ với Deepfake theo thời gian thực
Tin tặc đang khai thác X )Twitter( với:
Ví dụ thực tế: Vào tháng 5 năm 2025, một buổi phát trực tiếp giả mạo “Elon Musk” đã kêu gọi người xem quét mã QR để nhận quà “TeslaCoin”. Nạn nhân đã mất hơn 200K đô la chỉ trong 30 phút.
Một trong những xu hướng đáng lo ngại nhất là sự phát triển của các cuộc trò chuyện hỗ trợ deepfake theo thời gian thực. Tin tặc sử dụng các hình đại diện bị ảnh hưởng bởi AI để giả mạo các thương hiệu hoặc người có ảnh hưởng nổi tiếng trên X )Twitter(, cung cấp "trợ giúp" chân thực, tương tác khiến nạn nhân bị lừa chia sẻ cụm từ hạt giống hoặc khóa riêng của họ.
Các deepfake này thuyết phục đến mức ngay cả những người dùng crypto dày dạn kinh nghiệm cũng đã bị cuốn vào, với các avatar bắt chước giọng nói, âm điệu và thậm chí ngôn ngữ cơ thể của những nhân vật nổi tiếng trong cộng đồng.
Trong một trong những trường hợp nổi bật nhất, một buổi phát trực tiếp deepfake "Elon Musk" trên X đã quảng cáo một chương trình tặng thưởng TeslaCoin giả mạo và đã gây ra hàng trăm nghìn đô la thiệt hại chỉ trong vài phút.
Mẹo OPSEC: Cách để an toàn
Từ Hướng dẫn năm 2025 của Quillaudits:
| Hành động | Tại sao điều này quan trọng | | --- | --- | | Sử dụng một thiết bị chuyên dụng | Tách biệt hoạt động tiền điện tử khỏi việc duyệt web hàng ngày | | Hủy phê duyệt | Phần mềm độc hại không thể rút tiền từ ví mà bạn đã khóa | | Tránh Wi-Fi công cộng | Crocodilus phát triển trên các mạng không an toàn | | Xác minh các liên kết X ngoại tuyến | Lừa đảo deepfake biến mất khi được kiểm tra chéo |
Để bảo vệ chống lại các mối đe dọa như vậy, người dùng sẽ phải sử dụng phương pháp OPSEC nhiều lớp. Các chuyên gia khuyên bạn nên sử dụng ví cứng để đầu tư có giá trị cao, cho phép xác thực hai yếu tố và không bao giờ chia sẻ cụm từ hạt giống - không bao giờ ngay cả với nhân viên hỗ trợ được cho là hoặc tài khoản xã hội hợp pháp.
Các kiểm tra phê duyệt ví thường xuyên, giữ cho phần mềm được cập nhật và tách biệt các hoạt động tiền điện tử vào các thiết bị sử dụng một lần có thể giảm thiểu rủi ro tương tự. Khi các kẻ tấn công ngày càng trở nên sáng tạo và phát minh hơn, phòng thủ tốt nhất là giữ cho mình được giáo dục tốt và đủ hoài nghi.