Tin tặc lợi dụng Telegram nhắm mục tiêu vào các công ty tiền điện tử

10:00 | 15/12/2022 | HACKER / MALWARE

Microsoft gần đây đã phát hiện một cuộc tấn công, trong đó tin tặc lợi dụng các nhóm trò chuyện Telegram để nhắm mục tiêu vào các công ty đầu tư tiền điện tử. Hãng xác định nhóm tin tặc đứng sau chiến dịch lần này là DEV-0139.

Tin tặc lợi dụng Telegram nhắm mục tiêu vào các công ty tiền điện tử

Nhóm nghiên cứu Security Threat Intelligence của Microsoft cho biết, DEV-0139 tham gia các nhóm Telegram giữa khách hàng VIP và các sàn giao dịch tiền điện tử, từ đó tìm kiếm mục tiêu trong số các thành viên. Vào ngày 19/10, tin tặc đã giả làm đại diện của một công ty quản lý tài sản điện tử và mời ít nhất một mục tiêu tham gia một nhóm Telegram, nơi cung cấp các thông tin về cấu trúc phí của các sàn giao dịch tiền điện tử. Sau khi lấy được lòng tin của nạn nhân, tin tặc gửi bảng tính Excel độc hại có tên "OKX Binance & Huobi VIP fee comparision.xls" cùng với dữ liệu so sánh cấu trúc phí VIP của các sàn giao dịch tiền điện tử.

Sau khi nạn nhân mở tài liệu và kích hoạt macro, một bảng tính thứ hai được nhúng trong tệp sẽ tải xuống và phân tích tệp PNG để trích xuất một tệp DLL độc hại, một backdoor được mã hóa XOR và một tệp thực thi Windows hợp pháp sau đó được sử dụng để tải tệp DLL. DLL này sẽ giải mã và tải backdoor, từ đó giúp tin tặc giành được quyền truy cập từ xa vào hệ thống nạn nhân.

Bảng tính Excel sau đó sẽ không được bảo vệ nếu tệp Excel thứ hai được lưu trữ trong Base64 đã được cài đặt và kích hoạt. Điều này giúp đánh lừa người dùng bật macro và không gây nghi ngờ. Một payload thứ hai cũng được DEV-0139 sử dụng trong chiến dịch này. Đó là gói MSI cho ứng dụng CryptoDashboardV2, cho thấy nhóm cũng đứng sau các cuộc tấn công khác sử dụng kỹ thuật tương tự để phát tán các payload tùy chỉnh.

Hãng Volexity cuối tuần trước cho rằng nhóm tin tặc Lazarus (Triều Tiên) có liên quan đến chiến dịch lần này. Theo Volexity, các tin tặc Triều Tiên đã sử dụng bảng tính độc hại để thả AppleJeus, mã độc từng được Lazarus sử dụng để đánh cắp tiền điện tử và các tài sản kỹ thuật số khác. Volexity cũng quan sát thấy Lazarus sử dụng bản sao trang web sàn giao dịch tiền điện tử tự động HaasOnline để phân phối phiên bản đã bị trojan hóa của ứng dụng BloxHolder. Phiên bản này có nhiệm vụ triển khai phần mềm độc hại AppleJeus đi kèm trong ứng dụng QTBitcoinTrader.

Microsoft cho biết hãng đã thông báo cho những khách hàng bị xâm phạm hoặc bị nhắm mục tiêu trong cuộc tấn công này, đồng thời chia sẻ thông tin cần thiết để bảo mật tài khoản.

Lazarus là một nhóm hacker Bắc Triều Tiên đã hoạt động hơn một thập kỷ, ít nhất là kể từ năm 2009. Nhóm này được biết đến với các cuộc tấn công vào các mục tiêu cao cấp trên toàn thế giới, bao gồm ngân hàng, tổ chức truyền thông và cơ quan chính phủ. Nhóm được cho là chịu trách nhiệm cho các cuộc tấn công mạng lớn, bao gồm vụ hack Sony Pictures năm 2014 và cuộc tấn công mã độc tống tiền WannaCry năm 2017.

Lê Yến

‹ › ×

Tin liên quan

Cảnh báo tin tặc sử dụng Google Ads để phân phối mã độc tống tiền Royal

13:00 | 02/12/2022

Microsoft vừa đưa ra cảnh báo việc tin tặc sử dụng Google Ads trong các chiến dịch tấn công mạng, để phân phối các payload độc hại khác nhau, bao gồm cả mã độc tống tiền Royal được phát hiện gần đây.

Nhà phát triển .NET bị tấn công bởi các gói NuGet độc hại

14:00 | 31/03/2023

Một nhóm những kẻ tấn công đã nhằm mục tiêu vào các nhà phát triển .NET bằng cách sử dụng các công cụ đánh cắp tiền điện tử được phân phối thông qua kho lưu trữ NuGet và mạo danh nhiều gói hợp lệ thông qua kỹ thuật typosquatting.

Tại sao tin tặc gia tăng sử dụng Telegram?

13:00 | 24/08/2022

Các nền tảng tin nhắn như Telegram đang cung cấp cơ hội cho tin tặc lưu trữ, phân phối và thực thi đa dạng các chức năng, để đánh cắp thông tin từ những nạn nhân mất cảnh giác. Nhưng đó không chỉ là mục tiêu duy nhất mà tin tặc đã lợi dụng Telegram cho các hoạt động xấu của chúng.

235 triệu người dùng Twitter bị phát tán dữ liệu cá nhân

09:00 | 09/01/2023

Theo Cybernews, thông tin của 235 triệu người dùng Twitter được đăng miễn phí trên một diễn đàn chuyên mua bán dữ liệu của tin tặc. Toàn bộ có dung lượng 63GB, bao gồm tên người dùng, địa chỉ email, số lượng người theo dõi và ngày tạo tài khoản.

Cảnh báo phần mềm độc hại Mystic Stealer mới đánh cắp thông tin trên các trình duyệt web và ví tiền điện tử

14:00 | 22/06/2023

Một phần mềm độc hại đánh cắp thông tin mới có tên gọi là “Mystic Stealer” đã được quảng bá trên các diễn đàn tin tặc kể từ tháng 4/2023 và nhanh chóng thu hút được sự chú ý trong cộng đồng tội phạm mạng.

Telegram - web đen mới cho tội phạm mạng

14:00 | 24/09/2021

Cuộc điều tra mới đây của nhóm tình báo mạng Cyberint đã phát hiện ra một mạng lưới tin tặc chuyên chia sẻ công khai dữ liệu cá nhân của hàng triệu người trong các nhóm và kênh trên Telegram với hàng nghìn thành viên.

FBI cảnh báo về sự gia tăng các vụ lừa đảo thu hồi tiền điện tử

14:00 | 24/08/2023

Theo số liệu từ FBI, vào năm 2022 số tiền bị mất do gian lận đầu tư tiền điện tử đã vượt quá 2,5 tỷ USD, qua đó tạo cơ hội cho những kẻ lừa đảo lợi dụng những nạn nhân trong nhóm này. Vừa qua FBI đã cảnh báo về sự gia tăng của những kẻ lừa đảo giả làm công ty phục hồi có thể giúp nạn nhân của các vụ lừa đảo đầu tư tiền điện tử lấy lại tài sản bị mất.

Tin cùng chuyên mục

Phát hiện lỗ hổng nghiêm trọng trong công cụ giải nén WinRAR

16:00 | 06/09/2023

Chuyên gia an ninh mạng của Zero Day Initiative phát hiện lỗ hổng nghiêm trọng trong WinRAR - công cụ giải nén phổ biến được hàng triệu người dùng Windows sử dụng. Lỗ hổng này đã được báo cáo lỗ hổng cho nhà cung cấp RARLAB. Đáng lưu ý, tin tặc có thể thực thi các lệnh trên máy tính từ xa nếu người dùng vô tình mở một file nén có mã độc.

Mã độc tấn công nhiều tài khoản Facebook tại Việt Nam

15:00 | 31/08/2023

Mới đây, hệ thống giám sát và cảnh báo mã độc của Bkav đã ghi nhận số lượng máy tính nhiễm mã độc Fabookie tăng đột biến. Bkav cho biết, trong tháng 7/2023, đã có hơn 100.000 máy tính tại Việt Nam bị nhiễm mã độc Fabookie - chuyên đánh cắp tài khoản Facebook Bussiness.

Phát hiện 2 ứng dụng độc hại trên Google Play gửi dữ liệu người dùng về Trung Quốc

16:00 | 21/07/2023

Hai ứng dụng quản lý tệp trên Google Play đã bị phát hiện là phần mềm gián điệp, khiến quyền riêng tư và bảo mật của khoảng 1,5 triệu người dùng Android gặp nguy hiểm. Các ứng dụng này tham gia vào hành vi lừa đảo và bí mật gửi dữ liệu nhạy cảm của người dùng đến các máy chủ ở Trung Quốc.

Kỹ thuật tấn công BrutePrint mất bao lâu để mở khóa 10 loại điện thoại thông minh khác nhau?

07:00 | 05/07/2023

Các nhà nghiên cứu đã tìm ra một cách tấn công điện thoại thông minh, với giá rẻ, bằng cách bẻ khóa dấu vân tay xác thực được sử dụng để mở khóa màn hình và thực hiện các hành động nhạy cảm khác trên một loạt thiết bị Android chỉ trong 45 phút.