Thay đổi địa chỉ Bitcoin một cách âm thầm, rò rỉ dữ liệu tại nhà sản xuất đồ chơi người lớn và các sự kiện an ninh mạng khác - ForkLog: tiền điện tử, AI, siêu trí tuệ, tương lai

# Những vụ thay đổi địa chỉ Bitcoin âm thầm, rò rỉ dữ liệu từ nhà sản xuất đồ chơi người lớn và các sự kiện an ninh mạng khác

Chúng tôi tổng hợp những tin tức quan trọng nhất trong lĩnh vực an ninh mạng trong tuần.

• Hacker đã nghĩ ra phương thức thay đổi địa chỉ Bitcoin một cách âm thầm.
• Một Trojan mới dành cho Android đã được ngụy trang dưới dạng ứng dụng IPTV.
• Người dùng Trezor và Ledger nhận được thư phishing dạng giấy.
• Nhà nghiên cứu đã vạch mặt các công ty lớn theo dõi người dùng Chrome qua các tiện ích mở rộng.

Hacker đã nghĩ ra phương thức thay đổi địa chỉ Bitcoin một cách âm thầm

Những kẻ tấn công bắt đầu thay đổi địa chỉ Bitcoin một cách âm thầm với lý do là các giao dịch arbitrage có lợi. Các chuyên gia của BleepingComputer đã phát hiện ra sơ đồ này.

Chiến dịch dựa trên lời hứa về lợi nhuận khổng lồ từ một “lỗ hổng để thực hiện arbitrage” trên nền tảng trao đổi tiền mã hóa Swapzone. Thực tế, hacker chạy mã độc gây ảnh hưởng trực tiếp vào quá trình swap trong trình duyệt của nạn nhân.

Thông thường, các cuộc tấn công kiểu ClickFix nhắm vào hệ điều hành: người dùng bị lừa chạy lệnh trong PowerShell để “sửa lỗi” Windows, dẫn đến cài đặt phần mềm theo dõi hoặc mã mã hóa dữ liệu. Trong trường hợp này, mục tiêu là một phiên duyệt cụ thể trong trình duyệt.

Theo các báo cáo, đây là một trong những trường hợp đầu tiên sử dụng cơ chế ClickFix để thao túng các trang web nhằm mục đích trộm cắp tiền mã hóa trực tiếp.

Để thúc đẩy chiến dịch lừa đảo, hacker để lại bình luận trên các bài đăng khác nhau trên dịch vụ lưu trữ mã nguồn Pastebin.

Nguồn: BleepingComputer. Họ quảng cáo “rò rỉ tài liệu hack”, cho rằng có thể kiếm được 13.000 USD trong hai ngày, kèm theo liên kết đến nguồn này. “Hướng dẫn” trong Google Docs mô tả sơ đồ để nhận được số tiền trao đổi cao hơn trong các cặp BTC nhất định.

Theo quan sát của BleepingComputer, tài liệu này luôn được xem bởi từ một đến năm người cùng lúc, xác nhận hoạt động của sơ đồ này.

Nguồn: BleepingComputer. Trong hướng dẫn giả mạo, người dùng được đề nghị:

1. Truy cập trang Swapzone.
2. Sao chép mã JavaScript từ nguồn bên thứ ba.
3. Quay lại tab Swapzone, nhập javascript:, dán mã đã sao chép vào thanh địa chỉ và nhấn Enter.

Phương pháp này sử dụng chức năng javascript: URI của trình duyệt, cho phép thực thi mã trong ngữ cảnh của trang web mở ra. Phân tích cho thấy, script ban đầu tải xuống phần mã thứ hai, phức tạp và rối rắm hơn nhiều. Nó được chèn vào trang Swapzone, thay thế các script hợp lệ của Next.js chịu trách nhiệm thực hiện các giao dịch:

• Thay đổi địa chỉ. Script độc hại chứa danh sách các địa chỉ Bitcoin của hacker. Nó thay thế một trong số đó vào chỗ địa chỉ gửi tiền thực tế do sàn tạo ra;
• Lừa đảo trực quan. Mã thay đổi tỷ giá trao đổi và số tiền hiển thị trên màn hình để tạo ấn tượng rằng “sơ đồ arbitrage” thực sự hoạt động;
• Kết quả. Nạn nhân thấy giao diện quen thuộc của dịch vụ hợp lệ, nhưng lại gửi tiền vào ví Bitcoin của hacker.

Trojan mới dành cho Android ngụy trang dưới dạng ứng dụng IPTV

Phần mềm độc hại mới dành cho Android giả dạng ứng dụng xem IPTV để đánh cắp danh tính số và truy cập vào tài khoản ngân hàng của nạn nhân. Các nhà nghiên cứu an ninh mạng ThreatFabric đã đưa tin.

Virus Massiv sử dụng phương thức chồng lớp cửa sổ và ghi lại các phím nhấn để thu thập dữ liệu nhạy cảm. Nó cũng có thể cài đặt quyền điều khiển từ xa hoàn toàn đối với thiết bị nhiễm.

Trong chiến dịch, Massiv đã tấn công ứng dụng chính phủ của Bồ Đào Nha liên quan đến Chave Móvel Digital — hệ thống xác thực và ký số điện tử quốc gia. Dữ liệu trong các dịch vụ này có thể bị lợi dụng để vượt qua các thủ tục xác minh danh tính (KYC), truy cập tài khoản ngân hàng, cũng như các dịch vụ trực tuyến khác của nhà nước và tư nhân.

Theo ThreatFabric, đã ghi nhận các trường hợp mở tài khoản ngân hàng và dịch vụ dựa trên tên của nạn nhân mà không có sự đồng ý của họ.

Massiv cung cấp cho các nhà điều hành hai chế độ điều khiển từ xa:

• phát trực tiếp màn hình — sử dụng API Android MediaProjection để truyền phát nội dung màn hình theo thời gian thực;
• chế độ UI-tree — trích xuất dữ liệu có cấu trúc qua Accessibility Service (Dịch vụ Trợ năng).

Nguồn: ThreatFabric. Chế độ thứ hai cho phép hacker xem được nội dung văn bản, tên các phần tử giao diện và tọa độ của chúng. Điều này giúp họ nhấn các nút và chỉnh sửa các trường văn bản thay mặt người dùng. Quan trọng hơn, phương pháp này còn vượt qua được các biện pháp chụp màn hình, thường được tích hợp trong các ứng dụng ngân hàng và tài chính.

Các nhà nghiên cứu nhận thấy xu hướng đáng chú ý: trong tám tháng qua, việc sử dụng các ứng dụng IPTV như “mồi nhử” để nhiễm malware cho thiết bị Android đã tăng mạnh.

Nguồn: ThreatFabric. Các ứng dụng này thường vi phạm bản quyền, do đó không có trong Google Play. Người dùng thường tải về dưới dạng file APK từ các nguồn không chính thức và cài đặt thủ công.

Theo báo cáo, chiến dịch này nhằm vào người dân Tây Ban Nha, Bồ Đào Nha, Pháp và Thổ Nhĩ Kỳ.

Người dùng Trezor và Ledger nhận thư phishing dạng giấy

Người dùng Trezor và Ledger bắt đầu nhận được thư thông thường do kẻ xấu gửi, giả danh nhà sản xuất ví phần cứng.

Theo chuyên gia an ninh mạng Dmitry Smilyants, thư mà ông nhận được trông giống như thông báo chính thức từ bộ phận an ninh của Trezor.

Trên giấy tiêu chuẩn của công ty, khách hàng được đề nghị thực hiện thủ tục bắt buộc: quét mã QR và hoàn tất xác thực trên một trang web đặc biệt trước một ngày nhất định. Nếu không làm theo, họ sẽ bị đe dọa mất quyền truy cập các chức năng của ví.

Trong phần bình luận của bài đăng, còn xuất hiện các trường hợp phishing khác giả danh đại diện của Ledger. Cả hai thư đều tạo cảm giác cấp bách, thúc giục nạn nhân hành động ngay lập tức.

ít nhất họ cũng có thể làm tốt hơn trang phishing 😭😭

thậm chí gửi seed words dạng plaintext qua API Telegram…

trezor.authentication-check[.]io/black/ pic.twitter.com/fa85203awR

— Who said what? (@g0njxa) 12 tháng 2, 2026

Các mã QR trong thư dẫn đến các trang độc hại giả mạo trang cấu hình chính thức của Trezor và Ledger. Ở bước cuối cùng, người dùng bị buộc phải nhập seed phrase để “xác nhận quyền sở hữu thiết bị”.

Nhà nghiên cứu vạch mặt các công ty lớn theo dõi người dùng Chrome qua các tiện ích mở rộng

Nhà nghiên cứu có nickname Q Continuum phát hiện ra 287 tiện ích mở rộng cho Chrome gửi toàn bộ dữ liệu về lịch sử truy cập cho các công ty bên thứ ba. Tổng số lượt cài đặt của chúng vượt quá 37,4 triệu.

Thông qua hệ thống kiểm thử tự động, chuyên gia đã kiểm tra 32.000 plugin trong Chrome Web Store. Kết quả, phát hiện hơn 30 công ty thu thập dữ liệu.

Nhà phân tích cho rằng, các tiện ích cung cấp công cụ tiện lợi và hữu ích thực chất đều yêu cầu truy cập không hợp lý vào lịch sử trình duyệt. Một số trong số đó còn mã hóa dữ liệu, gây khó khăn cho việc phát hiện.

Theo ông, một phần dữ liệu thu thập được ghi rõ trong chính sách quyền riêng tư. Tuy nhiên, không phải người dùng nào cũng chú ý đến điều này.

Nhà nghiên cứu đã vạch mặt các công ty như Similarweb, Semrush, Alibaba Group, ByteDance và tổ chức liên kết với Similarweb là Big Star Labs.

Các tiện ích tùy chỉnh giao diện Stylish và các trình chặn quảng cáo như Stands AdBlocker, Poper Blocker, CrxMouse cũng bị nghi ngờ, cùng với tiện ích của chính Similarweb (SimilarWeb: Website Traffic & SEO Checker).

Nguồn: GitHub của người dùng Q Continuum. Khoảng 20 triệu lượt cài đặt trong tổng số 37,4 triệu không thể xác định rõ đối tượng thu thập dữ liệu.

Trong chính sách quyền riêng tư, Similarweb đã ghi rõ việc thu thập dữ liệu. Công ty khẳng định dữ liệu được làm mờ danh tính phía khách hàng, nhưng cũng đề cập rằng “một phần dữ liệu này có thể bao gồm thông tin cá nhân và nhạy cảm tùy theo truy vấn tìm kiếm và nội dung xem”.