Tống tiền người dùng cao cấp của PornHub, trình đào tiền điện tử SantaStealer và các sự kiện an ninh mạng khác - ForkLog: tiền điện tử, AI, siêu trí tuệ, tương lai

# Шантаж премиум-пользователей PornHub, дрейнер криптовалют SantaStealer và các sự kiện an ninh mạng khác

Chúng tôi tổng hợp những tin tức quan trọng nhất trong lĩnh vực an ninh mạng trong tuần.

• Lỗ hổng trong thư viện JavaScript đã bị khai thác để trộm tiền điện tử.
• Hacker đe dọa tiết lộ dữ liệu của các người dùng cao cấp của Pornhub.
• Hacker quảng bá phần mềm độc hại mới SantaStealer.
• Amazon cảnh báo về chiến dịch khai thác tiền điện tử ngầm quy mô lớn.

Lỗ hổng trong thư viện JavaScript bị khai thác để trộm tiền điện tử

Gần đây, các vụ tải xuống phần mềm độc hại nhằm làm rỗng ví tiền điện tử ngày càng gia tăng. Phần mềm này xâm nhập vào các trang web qua lỗ hổng trong thư viện JavaScript phổ biến dùng để tạo giao diện người dùng React, theo Cointelegraph.

Vào ngày 3 tháng 12, nhóm React thông báo rằng hacker trắng tên Laklan Davidson đã phát hiện ra lỗ hổng cho phép thực thi mã từ xa mà không cần xác thực. C cùng ngày, các chuyên gia đã phát hành bản cập nhật.

Theo tổ chức phi lợi nhuận về an ninh mạng Security Alliance (SEAL), các hacker đang lợi dụng lỗ hổng này để ẩn chứa mã của các phần mềm đào tiền điện tử trên các trang web liên quan.

SEAL nhấn mạnh rằng không chỉ các giao thức Web3 mà tất cả các trang web nói chung đều đang bị đe dọa. Người dùng được khuyến cáo cực kỳ cẩn trọng khi ký các giao dịch hoặc cấp phép.

Hacker đe dọa tiết lộ dữ liệu của các người dùng cao cấp của Pornhub

Người dùng nền tảng người lớn Pornhub đã bị tống tiền bởi nhóm hacker ShinyHunters. Ban lãnh đạo công ty đã thông báo về việc này.

Trong thư, họ cho biết trang web đã bị xâm nhập bởi nhà cung cấp phân tích bên thứ ba Mixpanel. Sự cố xảy ra vào ngày 8 tháng 11 năm 2025 sau một cuộc tấn công phishing.

Theo BleepingComputer, Pornhub đã không còn hợp tác với Mixpanel từ năm 2021, cho thấy thời điểm xảy ra sự cố.

Nhà thầu xác nhận rằng vụ xâm nhập ảnh hưởng đến “một số ít” khách hàng, trong đó trước đây có OpenAI và CoinTracker.

Trong bình luận với BleepingComputer, đại diện cho biết họ không coi hệ thống của mình là nguồn rò rỉ:

“Chúng tôi không tìm thấy dấu hiệu nào cho thấy dữ liệu này bị đánh cắp từ Mixpanel trong vụ việc tháng 11 hoặc theo cách khác. Lần cuối cùng một tài khoản hợp lệ của nhân viên công ty mẹ Pornhub liên hệ với chúng tôi là năm 2023”.

BleepingComputer biết rằng ShinyHunters bắt đầu tống tiền khách hàng của Mixpanel từ tuần trước, gửi email yêu cầu tiền chuộc.

Trong ultimatum gửi đến Pornhub, hacker tuyên bố đã lấy trộm 94 GB dữ liệu chứa hơn 200 triệu hồ sơ thông tin cá nhân.

Sau đó, nhóm này xác nhận với báo chí rằng cơ sở dữ liệu gồm 201.211.943 tài khoản người dùng cao cấp.

Các hacker đã cung cấp mẫu dữ liệu bị đánh cắp chứa thông tin nhạy cảm:

• địa chỉ email của người dùng;
• loại hoạt động (xem, tải xuống, truy cập kênh);
• vị trí;
• URL và tên video;
• từ khóa liên quan đến video;
• thời gian chính xác của sự kiện.

Hacker quảng bá phần mềm độc hại SantaStealer mới

Phần mềm trộm dữ liệu SantaStealer mới đang được quảng bá tích cực trên Telegram và các diễn đàn hacker. Nó được phân phối theo mô hình CaaS, theo các nhà nghiên cứu từ Rapid7.

Theo họ, SantaStealer là tên mới của phần mềm độc hại BluelineStealer. Nó hoạt động hoàn toàn trong bộ nhớ để tránh bị phát hiện bởi phần mềm chống virus.

Nhà phát triển đang tích cực quảng bá trước khi ra mắt chính thức dự kiến vào cuối năm.

Nguồn: Rapid7. Gói đăng ký hàng tháng cho CaaS có hai phiên bản:

• cơ bản — 175 USD;
• cao cấp — 300 USD.

Các chuyên gia của Rapid7 đã phân tích một số mẫu SantaStealer và truy cập vào giao diện dành cho đối tác. Mặc dù có nhiều cơ chế trộm dữ liệu, phần mềm độc hại này không đáp ứng các đặc điểm đã công bố về khả năng vượt qua hệ thống phát hiện.

Nghiên cứu cho thấy, bảng điều khiển của stealer có thiết kế tiện lợi, nơi “khách hàng” có thể tùy chỉnh các bộ thu thập dữ liệu của mình: từ trộm toàn diện đến các payload nhỏ gọn với mục tiêu chính xác.

SantaStealer sử dụng 14 module thu thập dữ liệu khác nhau, mỗi module hoạt động trong một luồng riêng biệt. Thông tin bị đánh cắp được ghi vào bộ nhớ, nén thành tệp ZIP và gửi theo từng phần 10 MB đến máy chủ điều khiển.

Theo các nhà nghiên cứu, SantaStealer có thể dùng để trộm:

• mật khẩu trình duyệt, cookie, lịch sử duyệt web, thẻ ngân hàng đã lưu;
• dữ liệu Telegram, Discord và Steam;
• thông tin về các ứng dụng Web3 và tiện ích mở rộng ví tiền điện tử;
• tài liệu từ thiết bị;
• ảnh chụp màn hình desktop của người dùng.

Amazon cảnh báo về chiến dịch khai thác tiền điện tử ngầm quy mô lớn

Chuyên gia an ninh mạng Amazon GuardDuty phát hiện chiến dịch khai thác tiền điện tử ngầm nhằm vào các dịch vụ chạy máy ảo và container với các ứng dụng Elastic Compute Cloud (EC2) và Elastic Container Service (ECS).

Việc cài đặt phần mềm đào tiền trên các hệ thống này mang lại lợi nhuận tài chính cho các hacker, đồng thời gây thiệt hại cho khách hàng AWS và chính Amazon, những người phải trả chi phí cho các tài nguyên tính toán.

Chiến dịch sử dụng hình ảnh Docker Hub được tạo vào cuối tháng 10, đã có hơn 100.000 lượt tải xuống tại thời điểm phát hiện. Amazon nhấn mạnh rằng các hacker không xâm nhập trực tiếp vào phần mềm, mà truy cập vào các tài khoản khách hàng bằng dữ liệu đăng nhập bị đánh cắp.

Nguồn: Amazon. Theo báo cáo, điểm đặc biệt của chiến dịch này là sử dụng cấu hình không cho phép quản trị viên tắt máy từ xa. Điều này buộc các chuyên gia an ninh phải thủ công tắt bảo vệ trước khi dừng khai thác.

Amazon đã cảnh báo các khách hàng bị ảnh hưởng cần thay đổi thông tin đăng nhập bị xâm phạm. Hình ảnh độc hại đã bị xóa khỏi Docker Hub, nhưng các chuyên gia cảnh báo khả năng phần mềm này sẽ được tải lên lại dưới các tài khoản hoặc tên khác.