Game thủ đối mặt rủi ro khi các bản mod Roblox giả mạo phát tán mã độc đánh cắp tiền điện tử

Các nhà nghiên cứu của Kaspersky vừa phát hiện Stealka – một loại mã độc đánh cắp thông tin được ngụy trang tinh vi dưới dạng mod game và phần mềm crack, nhắm thẳng vào ví crypto và dữ liệu trình duyệt thông qua hơn 115 tiện ích mở rộng.

Loại malware này được phát tán qua những nền tảng vốn được người dùng tin tưởng như GitHub, SourceForge hay Softpedia, nơi kẻ tấn công dựng lên các website và kho mã giả mạo với giao diện rất “chuyên nghiệp”. Chúng mạo danh các bản hack, cheat game phổ biến cho những tựa game như Roblox hay GTA V để đánh lừa người dùng tải về.

Theo Kaspersky, đây là diễn biến mới nhất trong làn sóng malware nhắm vào cộng đồng game thủ, khi tin tặc ngày càng tận dụng sự tin tưởng vốn có trong các nhóm mod game để phát tán mã độc.

Bẫy được giăng từ những thứ quen thuộc

Những kẻ đứng sau Stealka khai thác triệt để các từ khóa tìm kiếm phổ biến và tạo ra các trang tải về trông hoàn toàn hợp pháp. Thậm chí, một số website còn tuyên bố rằng file đã được quét virus trước khi đăng tải – dù trên thực tế không hề có bất kỳ bước kiểm tra nào.

Các file độc hại được thiết kế rất tinh vi. Có trang còn quảng bá Half-Life 3 – tựa game vốn chưa từng được phát hành – nhưng lại mô tả nó như một “phần mềm chuyên nghiệp dành cho Windows”. Những cái tên game đình đám chỉ đóng vai trò làm mồi, nhằm tăng khả năng xuất hiện trên công cụ tìm kiếm.

Kho vũ khí nhắm thẳng vào ví crypto

Theo Kaspersky, Stealka không chỉ dừng ở việc đánh cắp thông tin đăng nhập đơn giản. Malware này có khả năng thu thập dữ liệu từ các trình duyệt sử dụng nền tảng Chromium và Gecko, khiến hơn 100 ứng dụng, bao gồm Chrome, Firefox, Opera và Edge, rơi vào vùng nguy hiểm.

Stealka có thể lấy dữ liệu autofill, token phiên đăng nhập và cookie – đủ để vượt qua xác thực hai lớp (2FA) và chiếm quyền kiểm soát tài khoản mà không cần mật khẩu. Song song đó, nó còn nhắm tới 115 tiện ích trình duyệt liên quan đến ví crypto, trình quản lý mật khẩu và dịch vụ xác thực.

Danh sách mục tiêu bao gồm hàng loạt ví tiền điện tử phổ biến như Binance, Coinbase, MetaMask, Trust Wallet, Phantom, cùng các trình quản lý mật khẩu như 1Password, Bitwarden, LastPass và NordPass.

Không dừng lại ở đó, Stealka còn tải về các cấu hình cục bộ từ 80 ứng dụng ví khác nhau, liên quan đến Bitcoin, Ethereum, Exodus, Monero và Dogecoin. Những dữ liệu này có thể chứa private key được mã hóa hoặc seed phrase, đủ để tin tặc chiếm đoạt toàn bộ tài sản.

Ngoài crypto, malware này còn xâm nhập Discord, Telegram, các ứng dụng email như Outlook, Thunderbird, nền tảng game như Steam, launcher Roblox, các dịch vụ VPN như ProtonVPN, Surfshark, cũng như các ứng dụng ghi chú – nơi người dùng thường vô tình lưu thông tin nhạy cảm.

Stealka còn thu thập dữ liệu hệ thống, danh sách phần mềm đã cài, cấu hình phần cứng và chụp ảnh màn hình nhằm tối đa hóa lượng thông tin thu được.

Đáng chú ý, Kaspersky phát hiện tin tặc đã sử dụng các tài khoản bị chiếm quyền để tiếp tục phát tán malware. Một bản mod GTA V chứa Stealka được đăng tải từ chính một tài khoản đã bị hack trên một website chuyên về mod game.

Ngành crypto đối mặt khủng hoảng an ninh ngày càng nghiêm trọng

Chiến dịch Stealka xuất hiện trong bối cảnh ngành crypto đang chứng kiến những thất bại nghiêm trọng về bảo mật. Chỉ riêng năm 2025, các nền tảng crypto đã mất 9,1 tỷ USD, chiếm khoảng 10% trong tổng số 90 tỷ USD bị đánh cắp suốt 15 năm qua.

Riêng tháng 11, thiệt hại đã vượt 276 triệu USD, đẩy tổng tổn thất cả năm lên mức kỷ lục.

“Crypto đang đối mặt với một cuộc khủng hoảng an ninh thực sự,” ông Mitchell Amador, CEO của Immunefi – nền tảng bảo mật crowdsourcing bảo vệ hơn 180 tỷ USD tài sản – nhận định.

🇰🇵 North Korea's Famous Chollima hides malware in smart contracts via EtherHiding, posing as job recruiters after stealing $1.3B in 2024 and $2.2B in H1 2025.#NorthKorea #Blockchainhttps://t.co/8W6Pfj41u8

— Cryptonews.com (@cryptonews) October 17, 2025

Ông cho biết, phần lớn các vụ hack trong năm nay không đến từ audit kém, mà xảy ra sau khi dự án đã ra mắt, trong quá trình nâng cấp giao thức hoặc thông qua các lỗ hổng tích hợp.

Amador cũng chỉ ra rằng 99% dự án Web3 không có firewall cơ bản, và chưa đến 10% triển khai các công cụ bảo mật AI hiện đại, gọi cách tiếp cận này là “sự tắc trách có chủ đích”.

Khi smart contract ngày càng khó bị khai thác, yếu tố con người đang trở thành điểm yếu lớn nhất. Tin tặc dần chuyển hướng từ tấn công code sang khai thác lỗ hổng trong vận hành và an ninh nội bộ.

Hệ sinh thái malware ngày càng tinh vi

Nghiên cứu trước đây của Kaspersky cho thấy một hệ sinh thái malware bền bỉ và ngày càng phức tạp. Hãng từng ghi nhận chiến dịch GitVenom với hàng trăm kho GitHub giả mạo; malware di động SparkKitty từng lọt vào cả App Store và Google Play để đánh cắp ảnh chụp seed phrase bằng OCR; hay các trojan ClipBanker ẩn trong những bản Microsoft Office giả.

Đáng lo ngại hơn, các nhóm tin tặc Triều Tiên còn khai thác chính blockchain làm công cụ tấn công, bằng cách nhúng mã độc vào smart contract trên BNB Smart Chain và Ethereum, tạo ra hạ tầng điều khiển phi tập trung mà cơ quan thực thi pháp luật gần như không thể vô hiệu hóa.

Khuyến nghị từ Kaspersky

Trước mắt, Kaspersky khuyến cáo người dùng:

• Cài đặt phần mềm diệt virus uy tín
• Tránh lưu thông tin nhạy cảm trực tiếp trên trình duyệt
• Cực kỳ thận trọng với cheat game và phần mềm crack
• Bật xác thực hai lớp, lưu mã dự phòng trong password manager được mã hóa, không lưu file text
• Không tải phần mềm từ nguồn không đáng tin, dù có tiện lợi đến đâu