VietNetwork.Vn

Một tác nhân đe dọa có động cơ tài chính có mật danh UNC5142 đã bị phát hiện lạm dụng hợp đồng thông minh blockchain như một cách để tạo điều kiện phân phối các phần mềm đánh cắp thông tin, chẳng hạn như Atomic (AMOS), Lumma, Rhadamanthys (hay còn gọi là RADTHIEF) và Vidar, nhắm mục tiêu vào cả hệ thống Windows và Apple macOS.

Google Threat Intelligence Group (GTIG) cho biết trong một báo cáo chia sẻ với The Hacker News: "UNC5142 được đặc trưng bởi việc sử dụng các trang web WordPress bị xâm phạm và 'EtherHiding', một kỹ thuật được sử dụng để che giấu mã độc hoặc dữ liệu bằng cách đặt chúng trên một blockchain công khai, chẳng hạn như BNB Smart Chain".


Tính đến tháng 6 năm 2025, Google cho biết họ đã đánh dấu khoảng 14.000 trang web chứa mã JavaScript bị chèn có hành vi liên quan đến UNC5142, cho thấy việc nhắm mục tiêu bừa bãi vào các trang web WordPress dễ bị tấn công. Tuy nhiên, gã khổng lồ công nghệ lưu ý rằng họ không phát hiện bất kỳ hoạt động UNC5142 nào kể từ ngày 23 tháng 7 năm 2025, cho thấy sự tạm dừng hoặc chuyển hướng hoạt động.

EtherHiding lần đầu tiên được Guardio Labs ghi nhận vào tháng 10 năm 2023, khi họ nêu chi tiết các cuộc tấn công liên quan đến việc phát tán mã độc bằng cách sử dụng hợp đồng Smart Chain (BSC) của Binance thông qua các trang web bị nhiễm và phát tán cảnh báo cập nhật trình duyệt giả mạo.

Một khía cạnh quan trọng làm nền tảng cho chuỗi tấn công này là trình tải xuống JavaScript nhiều giai đoạn có tên CLEARSHORT, cho phép phát tán phần mềm độc hại thông qua các trang web bị tấn công. Giai đoạn đầu tiên là một phần mềm độc hại JavaScript được chèn vào các trang web để truy xuất giai đoạn thứ hai bằng cách tương tác với một hợp đồng thông minh độc hại được lưu trữ trên blockchain BNB Smart Chain (BSC). Phần mềm độc hại ở giai đoạn đầu tiên được thêm vào các tệp liên quan đến plugin, tệp giao diện và, trong một số trường hợp, thậm chí trực tiếp vào cơ sở dữ liệu WordPress.

Về phần mình, hợp đồng thông minh chịu trách nhiệm lấy trang đích CLEARSHORT từ một máy chủ bên ngoài, sau đó sử dụng chiến thuật kỹ thuật xã hội ClickFix để lừa nạn nhân chạy các lệnh độc hại trên hộp thoại Run của Windows (hoặc ứng dụng Terminal trên máy Mac), cuối cùng lây nhiễm phần mềm độc hại đánh cắp dữ liệu vào hệ thống. Các trang đích, thường được lưu trữ trên   Đăng nhập để xem liên kết của Cloudflare, được truy xuất ở định dạng được mã hóa kể từ tháng 12 năm 2024.


Trên hệ thống Windows, lệnh độc hại bao gồm việc thực thi tệp Ứng dụng HTML (HTA) được tải xuống từ URL MediaFire, sau đó thả một tập lệnh PowerShell để vượt qua hàng phòng thủ, lấy tải trọng cuối cùng được mã hóa từ GitHub hoặc MediaFire hoặc cơ sở hạ tầng riêng của họ trong một số trường hợp và chạy trình đánh cắp trực tiếp trong bộ nhớ mà không ghi hiện vật vào đĩa.

Trong các cuộc tấn công nhắm vào macOS vào tháng 2 và tháng 4 năm 2025, kẻ tấn công đã sử dụng mồi nhử ClickFix để yêu cầu người dùng chạy lệnh bash trên Terminal để truy xuất một tập lệnh shell. Sau đó, tập lệnh này sử dụng lệnh curl để lấy dữ liệu Atomic Stealer từ máy chủ từ xa.


CLEARSHORT được đánh giá là một biến thể của ClearFake, vốn là chủ đề của một cuộc phân tích chuyên sâu do công ty an ninh mạng Sekoia của Pháp thực hiện vào tháng 3 năm 2025. ClearFake là một framework JavaScript độc hại được triển khai trên các trang web bị xâm nhập để phát tán phần mềm độc hại thông qua kỹ thuật tải xuống tự động. Nó được biết là đã hoạt động từ tháng 7 năm 2023, với các cuộc tấn công áp dụng ClickFix vào khoảng tháng 5 năm 2024.

Việc lạm dụng blockchain mang lại nhiều lợi thế vì kỹ thuật thông minh này không chỉ hòa nhập với hoạt động Web3 hợp pháp mà còn tăng khả năng phục hồi của các hoạt động UNC5142 trước các nỗ lực phát hiện và triệt phá.

Google cho biết các chiến dịch của tác nhân đe dọa đã chứng kiến sự phát triển đáng kể trong năm qua, chuyển từ hệ thống hợp đồng đơn sang hệ thống ba hợp đồng thông minh phức tạp hơn bắt đầu từ tháng 11 năm 2024 để có tính linh hoạt trong hoạt động tốt hơn, với những cải tiến tiếp theo được quan sát thấy vào đầu tháng 1 này.

"Kiến trúc mới này là sự điều chỉnh của nguyên tắc thiết kế phần mềm hợp pháp được gọi là mô hình proxy, mà các nhà phát triển sử dụng để làm cho hợp đồng của họ có thể nâng cấp được", báo cáo giải thích.

"Thiết lập này hoạt động như một kiến trúc Router-Logic-Storage hiệu quả cao, trong đó mỗi hợp đồng đảm nhiệm một nhiệm vụ cụ thể. Thiết kế này cho phép cập nhật nhanh chóng các phần quan trọng của cuộc tấn công, chẳng hạn như URL trang đích hoặc khóa giải mã, mà không cần phải sửa đổi JavaScript trên các trang web bị xâm nhập. Do đó, các chiến dịch trở nên linh hoạt hơn nhiều và khó bị gỡ bỏ."

UNC5142 thực hiện điều này bằng cách tận dụng bản chất có thể thay đổi của dữ liệu hợp đồng thông minh (cần lưu ý rằng mã chương trình không thể thay đổi sau khi triển khai) để thay đổi URL tải trọng, khiến họ mất từ 0,25 đến 1,50 đô la phí mạng để thực hiện các bản cập nhật này.

Phân tích sâu hơn đã xác định tác nhân đe dọa sử dụng hai bộ cơ sở hạ tầng hợp đồng thông minh riêng biệt để phân phối phần mềm độc hại đánh cắp thông qua trình tải xuống CLEARSHORT. Cơ sở hạ tầng chính được cho là đã được tạo vào ngày 24 tháng 11 năm 2024, trong khi cơ sở hạ tầng phụ song song được tài trợ vào ngày 18 tháng 2 năm 2025.

GTIG cho biết: "Cơ sở hạ tầng chính nổi bật là cơ sở hạ tầng cốt lõi của chiến dịch, được đánh dấu bằng việc được xây dựng sớm và liên tục cập nhật". "Cơ sở hạ tầng phụ dường như là một triển khai song song, mang tính chiến thuật hơn, có thể được thiết lập để hỗ trợ một đợt tăng cường cụ thể trong hoạt động chiến dịch, thử nghiệm các mồi nhử mới, hoặc đơn giản là xây dựng khả năng phục hồi hoạt động."

"Với việc thường xuyên cập nhật chuỗi lây nhiễm cùng với nhịp độ hoạt động ổn định, khối lượng lớn các trang web bị xâm phạm và sự đa dạng của các phần mềm độc hại được phân phối trong năm rưỡi qua, rất có thể UNC5142 đã đạt được một số thành công nhất định trong các hoạt động của mình."