Ngày 27 tháng 12 này, Kaspersky Lab đã thông báo rằng nhóm hacker đến từ Bắc Triều Tiên có tên ‘BlueNoroff’ đã đánh cắp hàng triệu đô la tiền điện tử sau khi tạo ra hơn 70 tên miền giả và mạo danh các ngân hàng hoặc công ty đầu tư mạo hiểm.
Theo cuộc điều tra, hầu hết các miền đều bắt chước thành các công ty đầu tư mạo hiểm của Nhật Bản, biểu thị sự quan tâm mạnh mẽ đến dữ liệu người dùng và công ty trong quốc gia đó.
“Sau khi nghiên cứu cơ sở hạ tầng đã được sử dụng, chúng tôi đã phát hiện ra hơn 70 tên miền được sử dụng bởi nhóm này, nghĩa là chúng hoạt động rất tích cực cho đến gần đây. Ngoài ra, bọn chúng cũng đã tạo ra nhiều tên miền giả trông giống như vốn đầu tư mạo hiểm và tên miền ngân hàng.”
Sự “tiến hóa” của Bluenoroff trong phương thức lừa đảo
Cho đến vài tháng trước, nhóm BlueNoroff vẫn sử dụng các tài liệu Word để tiêm nhiễm phần mềm độc hại vào máy tính của nạn nhân. Tuy nhiên, gần đây, chúng đã cải thiện các kỹ thuật của mình, tạo ra một tệp Windows Batch mới cho phép mở rộng phạm vi và chế độ hoạt động của phần mềm độc hại.
Các tệp .bat mới này phá vỡ các biện pháp bảo mật Windows Mark-of-the-Web (MOTW), một dấu ẩn được gắn vào các tệp được tải xuống từ Internet để bảo vệ người dùng khỏi các tệp từ các nguồn không đáng tin cậy.
Sau một cuộc điều tra kỹ lưỡng vào cuối tháng 9, Kaspersky xác nhận rằng ngoài việc sử dụng các tập lệnh mới, nhóm BlueNoroff đã bắt đầu sử dụng các tệp ảnh đĩa .iso và .vhd để phát tán vi-rút.
Kaspersky cũng phát hiện ra rằng một người dùng ở Các Tiểu vương quốc Ả Rập Thống nhất đã trở thành nạn nhân của nhóm BlueNoroff sau khi tải xuống tài liệu Word có tên “Shamjit Client Details Form.doc,” cho phép tin tặc kết nối với máy tính của anh ta và trích xuất thông tin.
Sau khi tin tặc đăng nhập vào máy tính, “chúng đã cố gắng lấy dấu vân tay của nạn nhân và cài đặt thêm phần mềm độc hại có đặc quyền cao hơn”, tuy nhiên, nạn nhân đã thực hiện một số lệnh để thu thập thông tin hệ thống cơ bản, ngăn chặn phần mềm độc hại lan rộng hơn nữa.
Kỹ thuật hack đang trở nên nguy hiểm hơn
Nhiều báo cáo chỉ ra rằng Triều Tiên vẫn đang dẫn đầu thế giới về tội phạm tiền điện tử. Theo thống kê, các tin tặc đến từ Bắc Triều Tiên có thể đã đánh cắp số tiền điện tử trị giá hơn 1 tỷ USD cho đến tháng 5 năm 2022. Lớn nhất trong số đó, Lazarus, đã được chỉ ra là chịu trách nhiệm cho các cuộc tấn công lừa đảo lớn và các kỹ thuật phát tán phần mềm độc hại.
Sau vụ đánh cắp hơn 620 triệu USD từ Axie Infinity, Lazarus Group, một trong những nhóm tin tặc lớn nhất thế giới, đã có đủ tiền để cải thiện phần mềm của chúng đến mức tạo ra một kế hoạch tiền điện tử tiên tiến thông qua một tên miền có tên bloxholder.com mà chúng đã sử dụng làm bình phong để đánh cắp khóa riêng của nhiều “khách hàng”.
Theo báo cáo của Microsoft, các cuộc tấn công nhắm vào các tổ chức tiền điện tử để kiếm chác nhiều hơn đã gia tăng trong vài năm qua, vì vậy các cuộc tấn công cũng đang trở nên phức tạp hơn trước.
Một trong những kỹ thuật mới nhất được tin tặc sử dụng thông qua các nhóm Telegram là gửi các tệp bị nhiễm được ngụy trang dưới dạng bảng Excel chứa cấu trúc phí công ty trao đổi.
Sau khi nạn nhân mở tệp, họ cũng sẽ tải xuống một loạt chương trình cho phép tin tặc truy cập từ xa vào thiết bị bị nhiễm, cho dù đó là thiết bị di động hay PC.
Tham gia cộng đồng của chúng tôi để cùng bàn luận và cập nhật những thông tin Crypto mới nhất:
- Cryptory Insights: https://t.me/CryptoryInsights
- Cryptory Global Community: https://t.me/CryptoryCommunity
- Vietnamese Telegram channel: https://t.me/cryptory_vncomm
- Facebook: https://www.facebook.com/CryptoryNetwork
- Twitter: https://twitter.com/CryptoryNetwork