Một chiến dịch tấn công tinh vi vừa được phát hiện đang nhắm trực tiếp vào cộng đồng crypto và tài chính — và lần này, điểm yếu không nằm ở blockchain, mà ở chính những công cụ làm việc quen thuộc hằng ngày.
Theo báo cáo mới nhất từ Elastic Security Labs, tin tặc đang triển khai một hình thức social engineering nhiều lớp, lợi dụng hệ sinh thái plugin cộng đồng của ứng dụng ghi chú Obsidian để phát tán phần mềm độc hại có khả năng chiếm quyền điều khiển thiết bị.
Kịch bản tấn công: Từ LinkedIn đến Telegram, rồi đến… malware
Chiến dịch bắt đầu bằng những lời mời kết nối tưởng chừng vô hại trên LinkedIn. Tin tặc giả danh các quỹ đầu tư mạo hiểm, tiếp cận nạn nhân với các đề tài hấp dẫn như “giải pháp thanh khoản crypto” hoặc “dịch vụ tài chính”.
Sau khi tạo dựng lòng tin, cuộc trò chuyện được chuyển sang Telegram — nơi kẻ tấn công tiếp tục dẫn dắt nạn nhân tham gia vào một “dự án” giả mạo.
Bước tiếp theo mới thực sự nguy hiểm.
Nạn nhân được yêu cầu sử dụng Obsidian như một “dashboard nội bộ”, truy cập vào một vault lưu trữ trên cloud do chính kẻ tấn công kiểm soát. Khi mở vault này, họ được hướng dẫn bật tính năng community plugins sync — và đó chính là lúc mã độc được kích hoạt.
Plugin cộng đồng: Cánh cửa hậu bị lợi dụng
Theo Elastic, các plugin bị “trojan hóa” sẽ tự động thực thi mã độc ngay khi vault được mở, hoàn toàn không gây nghi ngờ. Cơ chế này hoạt động trơn tru trên cả Windows lẫn macOS.
Điểm đáng lo ngại là toàn bộ quá trình khai thác không phá vỡ hệ thống bảo mật truyền thống, mà tận dụng chính chức năng hợp pháp của ứng dụng.
PHANTOMPULSE: Malware thế hệ mới dùng blockchain làm hạ tầng
Phần mềm độc hại được sử dụng trong chiến dịch này là một biến thể RAT (Remote Access Trojan) chưa từng được ghi nhận trước đây, được đặt tên là PHANTOMPULSE.
PHANTOMPULSE cho phép kẻ tấn công:
- Kiểm soát thiết bị từ xa
- Truy cập dữ liệu nhạy cảm
- Duy trì sự hiện diện lâu dài mà khó bị phát hiện
Đặc biệt, malware này sử dụng một kỹ thuật hiếm gặp: kết nối command-and-control (C2) thông qua dữ liệu on-chain trên nhiều mạng blockchain.
Thay vì phụ thuộc vào server tập trung, PHANTOMPULSE đọc dữ liệu giao dịch từ các ví blockchain để nhận lệnh. Điều này mang lại:
- Khả năng chống chặn cao
- Tính phi tập trung
- Độ bền hạ tầng vượt trội
Ngay cả khi một mạng bị chặn, các mạng còn lại vẫn đảm bảo kênh liên lạc hoạt động.
Crypto tiếp tục là “mỏ vàng” của hacker
Không phải ngẫu nhiên mà giới crypto trở thành mục tiêu hàng đầu. Theo Chainalysis, chỉ riêng năm 2025 đã có 713 triệu USD bị đánh cắp từ các ví cá nhân.
Lý do rất rõ ràng: giao dịch blockchain không thể đảo ngược — một khi tài sản bị chuyển đi, gần như không có cơ hội lấy lại.
Bài học an ninh: Khi công cụ hợp pháp trở thành vũ khí
Chiến dịch này cho thấy một xu hướng đáng lo ngại: tin tặc ngày càng sáng tạo trong việc khai thác “điểm mù” của người dùng, thay vì tấn công trực diện vào hệ thống.
Elastic cảnh báo rằng:
Các công cụ làm việc hợp pháp hoàn toàn có thể bị biến thành vector tấn công nếu không được kiểm soát đúng cách.
Làm gì để tự bảo vệ?
Đối với cá nhân và tổ chức trong lĩnh vực crypto, một số biện pháp cần thiết bao gồm:
- Không cài plugin từ nguồn không rõ ràng
- Hạn chế mở file/vault được chia sẻ từ người lạ
- Xác minh danh tính đối tác trên nhiều kênh
- Thiết lập chính sách kiểm soát plugin ở cấp ứng dụng
- Sử dụng môi trường riêng biệt cho hoạt động tài chính
Kết luận
Trong một hệ sinh thái nơi tài sản số có thể “bốc hơi” chỉ trong vài giây, yếu tố con người vẫn là mắt xích yếu nhất.
Chiến dịch lần này là lời nhắc nhở rõ ràng:
Không phải mọi mối đe dọa đều đến từ smart contract hay blockchain — đôi khi, chúng bắt đầu từ một plugin tưởng như vô hại.
