JSCEAL malware xâm nhập ví crypto: Người dùng bị lừa qua quảng cáo giả

Check Point Research đã phát hiện chiến dịch mã độc có tên JSCEAL, hoạt động từ tháng 3/2024 và tiếp tục phát triển mạnh trong năm 2025. Hơn 35.000 quảng cáo giả mạo được phát tán trên các nền tảng mạng xã hội, hướng đến người dùng crypto bằng cách giả danh gần 50 ứng dụng nổi tiếng như Binance, MetaMask, Kraken, eToro và TradingView

Chiến dịch này ước tính đã tiếp cận hàng chục triệu người dùng toàn cầu, với ít nhất 3,5 triệu lượt xem tại EU và hơn 10 triệu người dùng bị phơi nhiễm trên toàn cầu

Luồng lây nhiễm tinh vi – khó phát hiện và khó phân tích

Nạn nhân nhấn vào quảng cáo giả sẽ được chuyển tới trang tải xuống file cài đặt MSI giả mạo, thường được ký số để tạo sự tin tưởng. Tuy nhiên quy trình cài malware gồm nhiều tầng:

- Chuỗi redirect domain nhiều lớp để tránh phân tích

- Tệp MSI khởi động PowerShell profiling thu thập thông tin hệ thống, vô hiệu hóa Windows Defender và kiểm tra xem người dùng có phải mục tiêu giá trị hay không

- Payload chính dùng V8 JavaScript được biên dịch (JSC) chạy trong Node.js – gây khó khăn cho các phần mềm diệt virus truyền thống

Kiểu tấn công kết hợp cả phần mềm và quảng cáo trực tuyến đã khiến JSCEAL khó bị phát hiện: hàng trăm mẫu mã độc đã được quét trên VirusTotal nhưng vẫn không được nhận diện trong thời gian dài .

Tác hại nghiêm trọng: Ví crypto, dữ liệu cá nhân bị đánh cắp

JSCEAL có khả năng thu thập:

- Chi tiết ví crypto: seed phrase, private key từ ví như MetaMask, Phantom, Exodus

- Thông tin nhập bàn phím, cookie trình duyệt, dữ liệu tự động điền

- Account Telegram hoặc trình duyệt, có thể chiếm quyền điều khiển tài khoản từ xa

- Khai thác Man‑in‑the‑Browser (MitB) và proxy nội bộ để can thiệp giao dịch trình duyệt

Điều đáng lo ngại là những lệnh cuối cùng được thiết kế đặc biệt để nhắm vào người dùng có mức tài sản cao hoặc hoạt động trên các nền tảng crypto tổ chức.

JSCEAL malware xâm nhập ví crypto: Người dùng bị lừa qua quảng cáo giả

Biện pháp phòng ngừa hiệu quả cho nhà đầu tư

Để bảo vệ tài sản số của bạn trước JSCEAL và các chiến dịch tương tự, chuyên gia khuyến nghị:

- Không tải app crypto từ quảng cáo hoặc nguồn không chính thức

- Chỉ sử dụng website và ứng dụng từ trang chính hãng

- Cập nhật antivirus hỗ trợ phát hiện mã JavaScript thực thi, đặc biệt Node.js và JSC

- Hoặc ưu tiên lưu trữ tài sản bằng ví lạnh (hardware wallet)

- Tránh sử dụng tài khoản quản trị (admin) hằng ngày, hạn chế quyền thực thi phần mềm không cần thiết trên thiết bị cá nhân Binance

JSCEAL là một lời cảnh tỉnh rõ ràng rằng đầu tư vào tài sản số không chỉ là quản lý danh mục tài chính – mà còn phải đồng hành cùng biện pháp an ninh mạng nghiêm ngặt. Nhà đầu tư chuyên nghiệp cần trang bị kiến thức phòng vệ tương đồng với rủi ro tài chính.