«Miễn phí» TradingView Premium với style, cuộc tấn công DDoS kỷ lục vào Cloudflare và các sự kiện an ninh mạng khác

# «Miễn phí» TradingView Premium với stylers, cuộc tấn công DDoS kỷ lục vào Cloudflare và các sự kiện khác về an ninh mạng

Chúng tôi đã tập hợp những tin tức quan trọng nhất từ thế giới an ninh mạng trong tuần.

• Hacker đã giấu stealer trong TradingView Premium giả.
• Các chuyên gia đã phát hiện ra một phần mềm đánh cắp nguy hiểm cho người dùng tiền điện tử.
• Bọn tống tiền đã đe dọa sẽ phát tán các tác phẩm nghệ thuật cho các mô hình AI.
• Trong việc quản lý các robot Trung Quốc, đã phát hiện ra lỗ hổng.

Tin tặc đã giấu phần mềm đánh cắp trong TradingView Premium giả

Tin tặc đã phát tán quảng cáo giả về việc cài đặt miễn phí TradingView Premium để tải phần mềm độc hại vào thiết bị Android của nạn nhân. Điều này đã được các nhà nghiên cứu của Bitdefender thông báo.

Phần mềm Brokewell được sử dụng đã xuất hiện vào đầu năm 2024. Nó có một loạt các khả năng, bao gồm việc đánh cắp dữ liệu nhạy cảm, giám sát từ xa và điều khiển thiết bị bị nhiễm.

Theo các nhà nghiên cứu, mục tiêu của chiến dịch là người dùng tiền điện tử. Nó hoạt động ít nhất từ ngày 22 tháng 7, sử dụng khoảng 75 quảng cáo được địa phương hóa cho phân khúc ru.

Ví dụ về quảng cáo của kẻ xấu. Nguồn: Bitdefender.Khi nạn nhân nhấp vào liên kết, họ được chuyển hướng đến một trang web giả mạo TradingView, nơi một tệp độc hại có tên tw-update.apk được cung cấp. Sau khi cài đặt, ứng dụng yêu cầu quyền truy cập vào các chức năng trợ năng. Nếu đồng ý, nó mở một cửa sổ cập nhật giả mạo hệ thống. Trong khi đó, infostealer đã tự cấp tất cả các quyền cần thiết.

Ngoài ra, kẻ xấu đã cố gắng lấy mã PIN khóa màn hình smartphone bằng cách giả mạo yêu cầu hệ thống Android.

Yêu cầu nhập mã PIN của màn hình khóa smartphone để bảo vệ khỏi phần mềm độc hại. Nguồn: Bitdefender.Các chuyên gia đã lưu ý rằng kế hoạch này hoàn toàn nhắm vào người dùng di động: khi chuyển từ thiết bị khác, nội dung hiển thị là vô hại.

Theo dữ liệu từ Bitdefender, ứng dụng giả mạo là "phiên bản mở rộng của phần mềm độc hại Brokewell" và có các chức năng sau:

• quét BTC, ETH, USDT và thông tin ngân hàng IBAN;
• đánh cắp và xuất khẩu mã từ Google Authenticator;
• chiếm đoạt tài khoản qua các màn hình đăng nhập giả.
• ghi lại màn hình và nhấn phím, đánh cắp cookies, kích hoạt camera và microphone, theo dõi định vị địa lý;
• chặn tin nhắn SMS, bao gồm mã ngân hàng và 2FA, thay thế chương trình nhắn tin tiêu chuẩn;
• có thể nhận lệnh từ xa qua Tor hoặc WebSockets để gửi SMS, gọi điện, xóa phần mềm hoặc thậm chí tự hủy.

Các chuyên gia đã phát hiện ra một phần mềm đánh cắp nguy hiểm cho người dùng tiền điện tử

Các nhà nghiên cứu từ F6 đã báo cáo về một kế hoạch độc hại có tên Phantom Papa được phát hiện vào tháng 6. Kẻ xấu đã gửi email bằng tiếng Nga và tiếng Anh với các tệp đính kèm chứa phần mềm đánh cắp thông tin Phantom.

Nền tảng dựa trên mã phần mềm CaaS Stealerium cho phép các nhà điều hành đánh cắp mật khẩu, thông tin ngân hàng và tiền điện tử, nội dung trình duyệt và ứng dụng nhắn tin.

Người nhận thư độc hại chứa stealer là các tổ chức từ nhiều lĩnh vực kinh tế: bán lẻ, công nghiệp, xây dựng, CNTT.

Báo cáo lưu ý rằng kẻ xấu đã chọn các email giả mạo với các chủ đề mang tính tình dục như See My Nude Pictures and Videos. Ngoài ra, cũng có những chiêu trò lừa đảo cổ điển như "Bản sao thanh toán đính kèm số 06162025".

Đoạn trích email lừa đảo của kẻ xấu với đề nghị tải xuống tệp nén. Nguồn: F6.Khi giải nén và khởi động các tệp trong các tệp RAR được gửi qua email có đuôi .img và .iso, phần mềm độc hại đã xâm nhập vào thiết bị. Sau khi khởi động trên máy của nạn nhân, Phantom thu thập thông tin chi tiết về "phần cứng" và cấu hình hệ thống, cũng như đánh cắp cookie, mật khẩu, dữ liệu thẻ ngân hàng từ trình duyệt, hình ảnh và tài liệu. Tất cả thông tin thu thập được đã bị kẻ xấu nhận được qua các bot Telegram như papaobilogs.

Một mối đe dọa khác đối với các chủ sở hữu tiền điện tử là mô-đun Clipper. Nó liên tục trong một vòng lặp với khoảng thời gian 2 giây để lấy nội dung của clipboard. Nếu nó thay đổi, phần mềm độc hại sẽ lưu nó vào tệp. Sau đó, nó quét cửa sổ hoạt động để tìm các từ liên quan đến dịch vụ tiền điện tử: "bitcoin", "monero", "crypto", "trading", "wallet", "coinbase".

Trong trường hợp phát hiện, giai đoạn tìm kiếm trong bộ nhớ tạm của ví tiền điện tử bắt đầu với các đoạn địa chỉ phổ biến. Khi tìm thấy, phần mềm sẽ thay thế ví của người dùng bằng các địa chỉ đã được cài đặt sẵn của kẻ xấu.

Cũng như Phantom, có một mô-đun PornDetector. Nó có khả năng theo dõi hoạt động của người dùng và, trong trường hợp tìm thấy một trong các từ «porn», «sex», «hentai», tạo ảnh chụp màn hình vào tệp. Nếu sau đó cửa sổ vẫn đang hoạt động, mô-đun sẽ chụp ảnh từ webcam.

Tin tặc đã đe dọa sẽ rò rỉ các tác phẩm nghệ thuật cho mô hình AI

Vào ngày 30 tháng 8, những kẻ tống tiền từ LunaLock đã được cho là đã đăng thông tin về vụ hack trên trang dịch vụ dành cho nghệ sĩ Artists&Clients. Tin này được 404 Media đưa tin.

Kẻ xấu đã yêu cầu các chủ sở hữu chợ nghệ thuật phải trả tiền chuộc trị giá $50 000 bằng bitcoin hoặc Monero. Nếu không, họ hứa hẹn sẽ công bố tất cả dữ liệu và chuyển giao các tác phẩm nghệ thuật cho các công ty AI để đào tạo các mô hình LLM.

Trên trang web đã có một đồng hồ đếm ngược, cho phép các chủ sở hữu vài ngày để quyên góp số tiền cần thiết. Tại thời điểm viết bài, tài nguyên không hoạt động.

«Đây là trường hợp đầu tiên mà tôi thấy các kẻ tấn công sử dụng mối đe dọa huấn luyện mô hình AI như một phần trong chiến thuật tống tiền của họ», — nhận xét của nhà phân tích cấp cao về mối đe dọa mạng Flare, Tammy Harper, trong một bình luận với 404 Media.

Cô ấy đã thêm rằng những hành động như vậy có thể hiệu quả đối với các nghệ sĩ do chủ đề nhạy cảm.

Trong quản lý robot Trung Quốc phát hiện lỗ hổng

Vào ngày 29 tháng 8, chuyên gia về an ninh mạng có biệt danh BobDaHacker đã phát hiện ra các vấn đề trong bảo mật của nhà cung cấp robot thương mại hàng đầu thế giới. Lỗ hổng cho phép các máy móc tuân theo các lệnh tùy ý.

Pudu Robotics — nhà sản xuất robot Trung Quốc cho việc thực hiện nhiều loại nhiệm vụ trong sản xuất và tại các nơi công cộng

BobDaHacker phát hiện ra rằng quyền truy cập quản trị vào phần mềm điều khiển robot không bị chặn. Theo lời anh, để thực hiện tấn công, kẻ xấu chỉ cần có một mã thông báo xác thực hợp lệ hoặc tạo một tài khoản thử nghiệm, được thiết kế cho các thử nghiệm trước khi mua.

Sau khi hoàn tất xác thực ban đầu, không có kiểm tra bảo mật bổ sung nào diễn ra. Kẻ tấn công có cơ hội chuyển hướng giao hàng thực phẩm hoặc tắt toàn bộ đội xe robot nhà hàng. Điều này cho phép bất kỳ ai muốn thực hiện những thay đổi nghiêm trọng: chẳng hạn như đổi tên robot để làm phức tạp quá trình phục hồi.

Cloudflare đã chịu đựng một cuộc tấn công DDoS kỷ lục

Cloudflare đã chặn cuộc tấn công DDoS lớn nhất từng được ghi nhận, với công suất đỉnh điểm đạt 11,5 Tbit/s. Nhà cung cấp dịch vụ mạng đã thông báo vào ngày 1 tháng 9

Các biện pháp phòng thủ của Cloudflare đã hoạt động hết công suất. Trong vài tuần qua, chúng tôi đã tự động chặn hàng trăm cuộc tấn công DDoS siêu khối lượng, với cuộc tấn công lớn nhất đạt đỉnh 5.1 Bpps và 11.5 Tbps. Cuộc tấn công 11.5 Tbps là một cuộc tấn công UDP flood chủ yếu đến từ Google Cloud.… pic.twitter.com/3rOys7cfGS

— Cloudflare (@Cloudflare) 1 tháng 9, 2025

«Hệ thống bảo vệ Cloudflare hoạt động ở chế độ tăng cường. Trong vài tuần qua, chúng tôi đã tự động chặn hàng trăm cuộc tấn công DDoS siêu mạnh, trong đó cuộc tấn công lớn nhất đã đạt đỉnh 5,1 tỷ gói mỗi giây và 11,5 Tbit/s», — công ty tuyên bố.

Cuộc tấn công DDoS kỷ lục kéo dài khoảng 35 giây và là sự kết hợp của một số thiết bị IoT và nhà cung cấp đám mây.

Cũng trên ForkLog:

• Grokking. Chatbot Grok đã được dạy để đăng các liên kết lừa đảo.
• Máy tính lượng tử đã phá vỡ khóa mã hóa "nhỏ bé".
• Tại Mỹ đã đề xuất một kế hoạch bảo vệ tài sản khỏi các mối đe dọa lượng tử.
• Tin tặc đã ẩn các liên kết độc hại trong hợp đồng thông minh.
• Người dùng Venus đã mất 27 triệu đô la do lừa đảo.
• Cuốn sách về tâm lý học đã giúp "bẻ khóa" ChatGPT.
• Tin tặc đã đánh cắp token WLFI bằng cách sử dụng ví thông minh.
• Thiệt hại từ việc hack các dự án tiền điện tử trong tháng 8 đã đạt $163 triệu.
• Binance đã giúp đóng băng tài sản của kẻ lừa đảo trị giá 47 triệu đô la.
• El Salvador đã bảo vệ 6284 BTC của mình khỏi mối đe dọa lượng tử.

Cái gì để đọc vào cuối tuần?

ForkLog trong khuôn khổ bản tin hàng tháng FLMonthly đã trò chuyện với nhà tiên phong trong lĩnh vực mã hóa Anton Nesterov về những mối đe dọa chính đối với quyền riêng tư và cách để đối phó với chúng.