Băng Nhóm "Crazy Evil" Phát Tán Mã Độc Đánh Cắp Thông Tin Nhắm Vào Thị Trường Crypto
Just a SOC Analyst ^^
Thông tin về nhóm Crazy Evil
Crazy Evil là một nhóm tội phạm mạng đến từ Nga hoạt động từ năm 2021, chuyên thực hiện các hành vi lừa đảo tài sản kỹ thuật số, gian lận danh tính và phát tán mã độc đánh cắp thông tin (infostealer). Nhóm này hoạt động chủ yếu trên các diễn đàn dark web như Lolz.Guru, LolzTeam và Zelenka, với tổng doanh thu bất hợp pháp vượt quá 5 triệu USD.
Crazy Evil điều hành nhiều chi nhánh nhỏ (traffer teams) để quản lý các chiến dịch lừa đảo nhắm vào nhà đầu tư tiền mã hóa, tài khoản game, thẻ thanh toán và các mục tiêu tài chính khác. Chúng tận dụng các kênh Telegram để tuyển dụng thành viên mới, quảng cáo dịch vụ và phân phối mã độc.
Hình 1. Ví dụ một attack chain của Crazy Evil
Các thành viên của Crazy Evil được yêu cầu có khả năng vận hành loại mã độc tránh bị phát hiện (FUD) trên cả Windows và macOS, hiểu biết sâu về ví tiền mã hóa phần cứng như Ledger và Trezor, cùng khả năng khai thác các lỗ hổng bảo mật. Đối với những tân binh thiếu kinh nghiệm, nhóm cung cấp tài liệu hướng dẫn chi tiết và đào tạo trực tiếp thông qua các "người giám sát". Crazy Evil cũng cung cấp các dịch vụ hỗ trợ như kiểm tra hiệu quả của mã độc, mã hóa phần mềm độc hại và hệ thống chia sẻ doanh thu từ các nạn nhân bị lừa đảo, giúp củng cố vị thế của mình trong giới tội phạm mạng ngầm.
Cơ cấu tổ chức và các nhóm phụ
Công việc liên quan đến nhóm Crazy Evil này được chia cho sáu nhóm phụ (subteam), gồm: AVLAND, TYPED, DELAND, ZOOMLAND, DEFI và KEVLAND. Mỗi nhóm phụ phụ trách một loại hình lừa đảo riêng biệt và có quy trình tuyển dụng riêng, giúp dễ dàng quản lý. Để đơn giản hóa quá trình giám sát, chúng sử dụng mã định danh "CE" kèm theo số để xác định các nhóm cụ thể.
| Mã định danh nhóm | Tên nhóm | Loại hình lừa đảo |
| CE-1 | AVLAND | Voxium, Rocket Galaxy |
| CE-2 | TYPED | TyperDex |
| CE-3 | DELAND | DeMeet |
| CE-4 | ZOOMLAND | Lừa đảo qua Zoom và WeChat |
| CE-5 | DEFI | Selenium Finance |
| CE-6 | KEVLAND | Gatherum |
Hình 2. Cơ cấu tổ chức của Crazy Evil
Các dự án lừa đảo của Crazy Evil
AVLAND (CE-1)
Nhóm này tập trung vào các dự án lừa đảo sau:
- Lừa Đảo Tuyển Dụng và Đầu Tư (Job Offer & Investment Scams):
Nhóm CE-1 vận hành dự án lừa đảo Voxium, một công cụ liên lạc phi tập trung giả mạo được quảng bá trên mạng xã hội và Telegram. Chúng chủ yếu sử dụng các chiêu trò giả mạo như tuyển dụng vị trí quản lý dự án, nhân sự truyền thông, hay lời mời đầu tư vào các dự án Web3.
Hình 3. Trang web giới thiệu dự án Voxium
Phát Tán Mã Độc Đánh Cắp Thông Tin (Infostealer Malware):
Sau khi lừa nạn nhân truy cập vào các trang web như voxiumcalls[.]com, chúng yêu cầu nhập mã cuộc họp để tải xuống phần mềm cài đặt độc hại. Mã độc này giúp CE-1 đánh cắp dữ liệu nhạy cảm như địa chỉ IP, cookie trình duyệt, mật khẩu và ví tiền mã hóa.Liên Kết Với Dự Án Lừa Đảo Rocket Galaxy:
CE-1 có liên quan đến trò chơi lừa đảo Rocket Galaxy, từng hoạt động dưới tên Rocket Legacy. Chúng sử dụng các trang web giả mạo và tài khoản mạng xã hội ảo để tăng độ tin cậy của Rocket Galaxy, nhằm phát tán mã độc và thu thập dữ liệu nạn nhân.
Hình 4. Trang web giới thiệu dự án Rocket Galaxy
Nhóm CE-1 sử dụng các nền tảng như Dropbox và các API Telegram để kiểm soát hoạt động, xác thực mã độc và phân tích thông tin bị đánh cắp. Các trang web độc hại như voxium[.]jeu và rocketgalaxy[.]xyz đóng vai trò trung tâm trong việc phát tán mã độc và thu thập dữ liệu nạn nhân.
TYPED (CE-2)
Các dự án lừa đảo mà nhóm này vận hành:
- Phát Tán Mã Độc Qua Phần Mềm Giả Mạo (TyperDex):
Nhóm CE-2 điều hành dự án lừa đảo TyperDex, một phần mềm được quảng cáo giúp tăng năng suất làm việc và được hỗ trợ bởi AI. TyperDex được mô tả như một ứng dụng cải thiện khả năng gõ phím, nhưng thực tế lại chứa mã độc đánh cắp thông tin (infostealer).
Hình 5. Trang web giới thiệu phần mềm TyperDex
Chiến Lược Đầu Độc SEO (SEO Poisoning):
CE-2 tận dụng chiến lược SEO poisoning, tối ưu hóa kết quả tìm kiếm để đưa các trang web lừa đảo lên vị trí cao trên các công cụ tìm kiếm lớn, thu hút nạn nhân một cách tự nhiên mà không cần mồi nhử trực tiếp.Tấn Công Nền Tảng Đa Dạng (Windows và macOS):
Các tệp cài đặt độc hại cho Windows và macOS của TyperDex liên kết đến các dịch vụ lưu trữ như Dropbox để phát tán mã độc. Đối với người dùng macOS, mã độc vẫn hoạt động bình thường và chia sẻ cơ sở hạ tầng điều khiển (C2) với dự án Voxium, giúp CE-2 duy trì hoạt động ngay cả khi một phần hạ tầng bị gỡ bỏ.Lừa Đảo Dựa Trên Ứng Dụng và Trang Web Giả Mạo:
CE-2 vận hành nhiều tên miền liên quan đến TyperDex như typerdex[.]jai, typerdex[.]jio, và typerdex[.]com, phục vụ cho việc phân phối phần mềm độc hại và thu thập thông tin từ nạn nhân. Chúng thường xuyên cập nhật và thay đổi hạ tầng để tránh sự phát hiện từ các tổ chức an ninh mạng.
DELAND (CE-3)
Nhóm này tập trung vào dự án lừa đảo DeMeet, được quảng cáo là một nền tảng phát triển cộng đồng với các tính năng trò chuyện và lập kế hoạch sự kiện. Tuy nhiên, DeMeet thực chất chỉ là một công cụ phát tán mã độc đánh cắp thông tin (infostealer), nhắm vào cả người dùng Windows và macOS thông qua các tệp cài đặt độc hại được lưu trữ trên Dropbox.
Hình 6. Trang web giới thiệu dự án Demeet.
Không giống như các dự án khác, DeMeet cho phép người dùng tự tạo mã truy cập để tải xuống phần mềm, giúp CE-3 vượt qua các hạn chế truy cập và dễ dàng phát tán mã độc hơn. Điều này giúp nạn nhân cảm thấy đây là một nền tảng hợp pháp, từ đó dễ bị lừa tải xuống các tệp độc hại.
ZOOMLAND (CE-4)
Nhóm CE-4 vận hành các chiến dịch lừa đảo thông qua việc giả mạo các nền tảng họp trực tuyến phổ biến như Zoom (nhắm vào người dùng nói tiếng Anh) và WeChat (nhắm vào người dùng nói tiếng Trung). Đây là nhóm duy nhất trong Crazy Evil nhắm mục tiêu trực tiếp vào các nạn nhân Trung Quốc.
Trang web lừa đảo yêu cầu nạn nhân tải xuống tệp cài đặt độc hại từ Dropbox, chẳng hạn như ZoomInstallerFull.exe và Zoom_v.4.83.dmg. Đối với người dùng macOS, mã độc này sử dụng cùng máy chủ điều khiển (C2) như các chiến dịch Voxium và TyperDex, với IP 141.98.9[.]20.
Hình 7. Trang web giả mạo Zoom
DEFI (CE-5)
Nhóm CE-5 điều hành dự án lừa đảo Selenium Finance, được quảng cáo là một nền tảng quản lý tài sản kỹ thuật số. Nhưng thực chất đây là công cụ phát tán mã độc đánh cắp thông tin (infostealer).
Dự án này nhắm vào các nạn nhân quan tâm đến tài chính phi tập trung (DeFi) và tiền mã hóa. Selenium Finance thậm chí còn phát hành ERC-20 token giả mạo để tăng độ tin cậy, lừa đảo các nhà đầu tư tiềm năng.
Hình 8. Trang web giới thiệu dự án Selenium DeFi
Đối với người dùng macOS, mã độc có thể được tải xuống từ tên miền iiyoiyol[.]com, sử dụng tập tin DeFi_Run_Bot_v.4.89.dmg. Mã độc này kết nối với các máy chủ điều khiển từ xa (C2) để thu thập dữ liệu tài chính nhạy cảm của nạn nhân.
Ngoài ra, CE-5 sẽ cung cấp các tài liệu hướng dẫn bằng tiếng Nga về các chiến thuật lừa đảo liên quan đến DeFi, bao gồm chiến lược lừa đảo tài sản kỹ thuật số và cách thao túng các nhà đầu tư không có kinh nghiệm. Điều này cho thấy nhóm đang nhắm mục tiêu vào các nạn nhân trong hệ sinh thái tài chính phi tập trung.
KEVLAND (CE-6)
Nhóm CE-6 điều hành dự án lừa đảo Gatherum, được quảng cáo là một phần mềm họp trực tuyến hỗ trợ AI, nhưng thực chất vẫn là công cụ phát tán mã độc đánh cắp thông tin (infostealer).
Đối với người dùng Windows, Gatherum tải xuống tệp GatherumSetup.exe từ Dropbox. Đối với macOS, nó tải xuống tệp Gatherum_v.6.97.dmg từ tên miền iiyoiyol[.]com, kết nối với máy chủ điều khiển từ xa (C2) có địa chỉ IP 141.98.9[.]20, tương tự như các chiến dịch lừa đảo khác của Crazy Evil.
Hình 9. Trang web giới thiệu dự án Gatherum
Danh sách IOCs liên quan tới chiến dịch
Domain
| tokenframegovernance[.]com |
| voxiumcalls[.]com |
| voxium[.]eu |
| voxiumhub[.]com |
| voxium[.]cloud |
| rocketgalaxy[.]io |
| rocketgalaxy[.]xyz |
| rocketgalaxyworld[.]com |
| playrocketgalaxy[.]com |
| rocketlegacy[.]xyz |
| ccdcompany[.]online |
| ultima-dapp[.]online |
| ultimadapp[.]online |
| solanans[.]com |
| watcherbot[.]xyz |
| secretum[.]io |
| iiyoiyol[.]com |
| typerdex[.]io |
| typerdex[.]ai |
| typerdex[.]jai |
| typerdex[.]team |
| typerdex[.]com |
| demeet[.]app |
| demeetapp[.]com |
| demeet[.]site |
| demeet[.]online |
| app.us4zoom[.]us |
| app-wechat[.]com |
| selenium[.]fi |
| gatherum[.]ca |
| gatherum[.]net |
| gatherum[.]one |
| gatherum[.]cc |
IP Address
| 178.22.31[.]97 |
| 141.98.9[.]20 |
Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch lừa đảo này:
Tăng Cường Bảo Vệ Thiết Bị Đầu Cuối: Triển khai các giải pháp EDR để phát hiện và chặn phần mềm độc hại liên quan đến Crazy Evil.
Lọc và Giám Sát Web: Sử dụng công cụ lọc web để chặn truy cập vào các tên miền độc hại và tải xuống đáng ngờ.
Giám Sát Mối Đe Dọa Liên Tục: Thường xuyên cập nhật các IOC và chiến thuật mới của Crazy Evil.
Đào Tạo và Nâng Cao Nhận Thức Người Dùng: Tổ chức các khóa đào tạo an ninh mạng, nhấn mạnh vào nhận diện lừa đảo và rủi ro từ tấn công social engineering.
Hợp Tác và Chia Sẻ Thông Tin: Chia sẻ thông tin về mối đe dọa với các tổ chức, đối tác trong ngành và cơ quan thực thi pháp luật.
Tăng Cường Tuân Thủ Quy Định: Đảm bảo các chính sách bảo mật phù hợp với các quy định an ninh mạng và bảo vệ dữ liệu hiện hành.
