Nhà giao dịch thông minh không bao giờ trả phí đầy đủ. Sử dụng mã giới thiệu này để tiết kiệm trọn đời: Binance WZ9KD49N / OKX 26021839

Mã độc StilachiRAT: Mối đe dọa mới nhắm vào ví tiền điện tử trên trình duyệt Chrome

Trong bối cảnh tiền điện tử ngày càng phổ biến, các mối đe dọa mạng cũng không ngừng gia tăng. Gần đây, các chuyên gia an ninh mạng đã phát hiện một loại mã độc nguy hiểm mang tên StilachiRAT, được thiết kế đặc biệt để đánh cắp thông tin từ các ví tiền điện tử tích hợp trên trình duyệt Google Chrome. Loại mã độc này không chỉ tinh vi mà còn có khả năng né tránh các công cụ phát hiện truyền thống.

Cơ chế hoạt động của StilachiRAT

StilachiRAT là một dạng Remote Access Trojan (RAT), cho phép tin tặc điều khiển từ xa thiết bị nạn nhân. Tuy nhiên, điểm khác biệt nằm ở mục tiêu cụ thể: nó tập trung vào việc đánh cắp dữ liệu từ các tiện ích mở rộng (extension) ví tiền điện tử như MetaMask, Phantom, hoặc Trust Wallet khi được cài đặt trên Chrome.

Quy trình lây nhiễm

Mã độc thường được phát tán qua các kênh sau:

  • Email lừa đảo (phishing) chứa liên kết tải về phần mềm giả mạo.
  • Trang web giả mạo cung cấp công cụ “miễn phí” liên quan đến tiền điện tử.
  • Tệp đính kèm trong tin nhắn mạng xã hội hoặc diễn đàn tiền ảo.

Khả năng đánh cắp dữ liệu

Sau khi xâm nhập, StilachiRAT thực hiện các hành vi sau:

  • Quét và trích xuất dữ liệu từ localStorage và IndexedDB của Chrome — nơi nhiều ví lưu trữ khóa riêng tư hoặc seed phrase.
  • Ghi lại hoạt động bàn phím (keylogging) để thu thập mật khẩu hoặc mã xác thực hai lớp (2FA).
  • Chụp màn hình khi phát hiện người dùng truy cập vào trang quản lý ví.

Đặc điểm kỹ thuật nổi bật

StilachiRAT được viết bằng ngôn ngữ Python, sau đó được đóng gói thành file thực thi Windows (.exe) thông qua PyInstaller. Điều này giúp mã độc dễ dàng chạy trên môi trường Windows mà không cần cài đặt thêm thư viện.

“StilachiRAT không chỉ đơn thuần là một RAT thông thường — nó được tối ưu để nhắm mục tiêu vào hệ sinh thái tiền điện tử, đặc biệt là những người dùng Chrome không đủ cảnh giác,” — báo cáo từ nhóm phân tích tại Kaspersky Labs.

Khả năng né tránh phát hiện

Mã độc sử dụng nhiều kỹ thuật anti-analysis như:

  • Mã hóa payload bằng XOR hoặc Base64 để tránh quét chữ ký.
  • Kiểm tra môi trường ảo (sandbox) trước khi thực thi hành vi độc hại.
  • Liên lạc với máy chủ C2 (Command & Control) qua giao thức HTTPS, khiến lưu lượng mạng trông “bình thường”.

Hướng dẫn phòng tránh và xử lý

Người dùng ví tiền điện tử trên Chrome cần chủ động bảo vệ mình trước mối đe dọa này. Dưới đây là một số biện pháp thiết thực:

Biện pháp phòng ngừa

  • Không cài đặt tiện ích mở rộng từ nguồn không rõ ràng — chỉ tải từ Chrome Web Store chính thức.
  • Luôn cập nhật trình duyệt và hệ điều hành để vá lỗ hổng bảo mật.
  • Sử dụng phần mềm diệt virus có khả năng phát hiện hành vi (behavior-based detection).
  • Không lưu seed phrase hoặc khóa riêng tư trong trình duyệt — hãy dùng ví phần cứng (hardware wallet) cho tài sản lớn.

Xử lý khi nghi ngờ bị nhiễm

Nếu bạn nghi ngờ thiết bị đã bị nhiễm StilachiRAT, hãy thực hiện ngay:

  • Ngắt kết nối internet để ngăn rò rỉ dữ liệu.
  • Quét toàn bộ hệ thống bằng công cụ diệt mã độc uy tín (như Malwarebytes, ESET, hoặc Kaspersky).
  • Thay đổi tất cả mật khẩu và khôi phục ví từ seed phrase trên thiết bị sạch.
  • Gỡ bỏ mọi tiện ích mở rộng không cần thiết trên Chrome.

Câu hỏi thường gặp

StilachiRAT có ảnh hưởng đến trình duyệt khác ngoài Chrome không?

Hiện tại, StilachiRAT chủ yếu nhắm vào Chrome do cách lưu trữ dữ liệu tiện ích mở rộng của trình duyệt này. Tuy nhiên, không loại trừ khả năng phiên bản mới sẽ mở rộng sang Edge hoặc Brave (cùng nền Chromium).

Ví phần cứng có an toàn trước StilachiRAT?

Có. Ví phần cứng như Ledger hoặc Trezor không lưu khóa riêng tư trên máy tính, nên ngay cả khi bị nhiễm mã độc, tin tặc cũng không thể truy xuất khóa để đánh cắp tài sản.

Làm sao biết Chrome đã bị nhiễm StilachiRAT?

Dấu hiệu bao gồm: máy chạy chậm bất thường, tiện ích ví bị thay đổi mà không rõ nguyên nhân, hoặc xuất hiện tiến trình Python lạ trong Task Manager. Tốt nhất nên quét hệ thống định kỳ.

Có thể khôi phục tài sản nếu đã bị đánh cắp?

Rất khó. Giao dịch trên blockchain là vĩnh viễn và không thể đảo ngược. Việc khôi phục chỉ khả thi nếu bạn còn seed phrase và hành động kịp thời để chuyển tài sản sang ví mới.

StilachiRAT có lây qua điện thoại không?

Không. Mã độc này hiện chỉ nhắm vào hệ điều hành Windows. Tuy nhiên, người dùng Android/iOS vẫn cần cảnh giác với các ứng dụng giả mạo ví tiền điện tử trên kho ứng dụng.

🚀 Bắt đầu hành trình trading của bạn:

Đăng ký tài khoản Binance hoặc OKX với mã giới thiệu của chúng tôi để nhận hoàn phí giao dịch lên đến 50%!

Đăng ký Binance Đăng ký OKX