Tin tặc lợi dụng Telegram nhắm mục tiêu vào các công ty tiền điện tử

10:00 | 15/12/2022 | HACKER / MALWARE

Microsoft gần đây đã phát hiện một cuộc tấn công, trong đó tin tặc lợi dụng các nhóm trò chuyện Telegram để nhắm mục tiêu vào các công ty đầu tư tiền điện tử. Hãng xác định nhóm tin tặc đứng sau chiến dịch lần này là DEV-0139.

Tin tặc lợi dụng Telegram nhắm mục tiêu vào các công ty tiền điện tử

Nhóm nghiên cứu Security Threat Intelligence của Microsoft cho biết, DEV-0139 tham gia các nhóm Telegram giữa khách hàng VIP và các sàn giao dịch tiền điện tử, từ đó tìm kiếm mục tiêu trong số các thành viên. Vào ngày 19/10, tin tặc đã giả làm đại diện của một công ty quản lý tài sản điện tử và mời ít nhất một mục tiêu tham gia một nhóm Telegram, nơi cung cấp các thông tin về cấu trúc phí của các sàn giao dịch tiền điện tử. Sau khi lấy được lòng tin của nạn nhân, tin tặc gửi bảng tính Excel độc hại có tên "OKX Binance & Huobi VIP fee comparision.xls" cùng với dữ liệu so sánh cấu trúc phí VIP của các sàn giao dịch tiền điện tử.

Sau khi nạn nhân mở tài liệu và kích hoạt macro, một bảng tính thứ hai được nhúng trong tệp sẽ tải xuống và phân tích tệp PNG để trích xuất một tệp DLL độc hại, một backdoor được mã hóa XOR và một tệp thực thi Windows hợp pháp sau đó được sử dụng để tải tệp DLL. DLL này sẽ giải mã và tải backdoor, từ đó giúp tin tặc giành được quyền truy cập từ xa vào hệ thống nạn nhân.

Bảng tính Excel sau đó sẽ không được bảo vệ nếu tệp Excel thứ hai được lưu trữ trong Base64 đã được cài đặt và kích hoạt. Điều này giúp đánh lừa người dùng bật macro và không gây nghi ngờ. Một payload thứ hai cũng được DEV-0139 sử dụng trong chiến dịch này. Đó là gói MSI cho ứng dụng CryptoDashboardV2, cho thấy nhóm cũng đứng sau các cuộc tấn công khác sử dụng kỹ thuật tương tự để phát tán các payload tùy chỉnh.

Hãng Volexity cuối tuần trước cho rằng nhóm tin tặc Lazarus (Triều Tiên) có liên quan đến chiến dịch lần này. Theo Volexity, các tin tặc Triều Tiên đã sử dụng bảng tính độc hại để thả AppleJeus, mã độc từng được Lazarus sử dụng để đánh cắp tiền điện tử và các tài sản kỹ thuật số khác. Volexity cũng quan sát thấy Lazarus sử dụng bản sao trang web sàn giao dịch tiền điện tử tự động HaasOnline để phân phối phiên bản đã bị trojan hóa của ứng dụng BloxHolder. Phiên bản này có nhiệm vụ triển khai phần mềm độc hại AppleJeus đi kèm trong ứng dụng QTBitcoinTrader.

Microsoft cho biết hãng đã thông báo cho những khách hàng bị xâm phạm hoặc bị nhắm mục tiêu trong cuộc tấn công này, đồng thời chia sẻ thông tin cần thiết để bảo mật tài khoản.

Lazarus là một nhóm hacker Bắc Triều Tiên đã hoạt động hơn một thập kỷ, ít nhất là kể từ năm 2009. Nhóm này được biết đến với các cuộc tấn công vào các mục tiêu cao cấp trên toàn thế giới, bao gồm ngân hàng, tổ chức truyền thông và cơ quan chính phủ. Nhóm được cho là chịu trách nhiệm cho các cuộc tấn công mạng lớn, bao gồm vụ hack Sony Pictures năm 2014 và cuộc tấn công mã độc tống tiền WannaCry năm 2017.

Lê Yến

‹ › ×

Tin liên quan

Nhà phát triển .NET bị tấn công bởi các gói NuGet độc hại

14:00 | 31/03/2023

Một nhóm những kẻ tấn công đã nhằm mục tiêu vào các nhà phát triển .NET bằng cách sử dụng các công cụ đánh cắp tiền điện tử được phân phối thông qua kho lưu trữ NuGet và mạo danh nhiều gói hợp lệ thông qua kỹ thuật typosquatting.

Cảnh báo tin tặc sử dụng Google Ads để phân phối mã độc tống tiền Royal

13:00 | 02/12/2022

Microsoft vừa đưa ra cảnh báo việc tin tặc sử dụng Google Ads trong các chiến dịch tấn công mạng, để phân phối các payload độc hại khác nhau, bao gồm cả mã độc tống tiền Royal được phát hiện gần đây.

235 triệu người dùng Twitter bị phát tán dữ liệu cá nhân

09:00 | 09/01/2023

Theo Cybernews, thông tin của 235 triệu người dùng Twitter được đăng miễn phí trên một diễn đàn chuyên mua bán dữ liệu của tin tặc. Toàn bộ có dung lượng 63GB, bao gồm tên người dùng, địa chỉ email, số lượng người theo dõi và ngày tạo tài khoản.

Tại sao tin tặc gia tăng sử dụng Telegram?

13:00 | 24/08/2022

Các nền tảng tin nhắn như Telegram đang cung cấp cơ hội cho tin tặc lưu trữ, phân phối và thực thi đa dạng các chức năng, để đánh cắp thông tin từ những nạn nhân mất cảnh giác. Nhưng đó không chỉ là mục tiêu duy nhất mà tin tặc đã lợi dụng Telegram cho các hoạt động xấu của chúng.

Hoạt động rửa tiền sử dụng tiền mã hóa: Phương thức, thủ đoạn và biện pháp phòng chống (phần 2)

15:00 | 20/12/2023

Trong phần I bài viết đã thông tin tới độc giả các khái niệm, phương thức, thủ đoạn của hoạt động rửa tiền bằng tiền mã hóa. Phần II tiếp theo của bài báo sẽ tập trung đề xuất các giải pháp phòng, chống rửa tiền sử dụng tiền mã hóa tại Việt Nam.

Telegram khắc phục lỗ hổng zero-day trên Windows

10:00 | 24/04/2024

Telegram đã sửa một lỗ hổng zero-day trong ứng dụng máy tính để bàn Windows có thể được sử dụng để vượt qua (bypass) các cảnh báo bảo mật và tự động khởi chạy các tập lệnh Python.

Telegram - web đen mới cho tội phạm mạng

14:00 | 24/09/2021

Cuộc điều tra mới đây của nhóm tình báo mạng Cyberint đã phát hiện ra một mạng lưới tin tặc chuyên chia sẻ công khai dữ liệu cá nhân của hàng triệu người trong các nhóm và kênh trên Telegram với hàng nghìn thành viên.

Cảnh báo phần mềm độc hại Mystic Stealer mới đánh cắp thông tin trên các trình duyệt web và ví tiền điện tử

14:00 | 22/06/2023

Một phần mềm độc hại đánh cắp thông tin mới có tên gọi là “Mystic Stealer” đã được quảng bá trên các diễn đàn tin tặc kể từ tháng 4/2023 và nhanh chóng thu hút được sự chú ý trong cộng đồng tội phạm mạng.

Quảng cáo độc hại trên các ứng dụng nhắn tin giả mạo nhắm mục tiêu đến người dùng Trung Quốc

14:00 | 19/02/2024

Một chiến dịch quảng cáo độc hại đang diễn ra nhắm mục tiêu vào người dùng nói tiếng Trung Quốc bằng cách lợi dụng các nền tảng nhắn tin phổ biến như Telegram hoặc LINE, với mục đích phát tán phần mềm độc hại. Điều thú vị là ứng dụng Telegram bị hạn chế rất nhiều và trước đó đã bị cấm ở Trung Quốc.

FBI cảnh báo về sự gia tăng các vụ lừa đảo thu hồi tiền điện tử

14:00 | 24/08/2023

Theo số liệu từ FBI, vào năm 2022 số tiền bị mất do gian lận đầu tư tiền điện tử đã vượt quá 2,5 tỷ USD, qua đó tạo cơ hội cho những kẻ lừa đảo lợi dụng những nạn nhân trong nhóm này. Vừa qua FBI đã cảnh báo về sự gia tăng của những kẻ lừa đảo giả làm công ty phục hồi có thể giúp nạn nhân của các vụ lừa đảo đầu tư tiền điện tử lấy lại tài sản bị mất.

Bóc tách gói PyPI độc hại mới khai thác tiền điện tử trên các thiết bị Linux

08:00 | 25/01/2024

Tháng 12/2023, các nhà nghiên cứu của hãng bảo mật Fortinet xác định được ba gói độc hại mới trong kho lưu trữ nguồn mở Python Package Index (PyPI) có khả năng triển khai tệp thực thi CoinMiner để khai thác tiền điện tử trên các thiết bị Linux bị ảnh hưởng. Các nhà nghiên cứu cho rằng các chỉ số xâm phạm (IoC) của các gói này có điểm tương đồng với gói PyPI Culturestreak được phát hiện vào đầu tháng 9/2023. Bài viết này sẽ phân tích các giai đoạn tấn công của ba gói PyPI độc hại này, trong đó tập trung vào những điểm tương đồng và sự phát triển của chúng so với gói Culturestreak.

Tin cùng chuyên mục

Vụ Công ty chứng khoán VNDIRECT bị tấn công, có thể là do mã độc tống tiền

16:00 | 26/03/2024

Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.

Lỗ hổng nghiêm trọng trong Jenkins dẫn đến thực thi mã từ xa

09:00 | 01/02/2024

Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.

Các tài khoản chính phủ và doanh nghiệp trên X bị tin tặc chiếm đoạt nhằm mục tiêu lừa đảo tiền điện tử

07:00 | 17/01/2024

Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.

Lỗ hổng mới trên chip Qualcomm cho phép tin tặc tấn công từ xa bằng cuộc gọi thoại

07:00 | 15/01/2024

Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.