Mới đây Microsoft đã tiết lộ rằng một tác nhân đe dọa đã được xác định với tên DEV-0139 đang nhăm nhe tấn công vào các công ty khởi nghiệp tiền điện tử. Chúng thường giả làm các công ty đầu tư crypto trên Telegram và sử dụng file Excel có chứa các virus độc hại để tiến hành lây nhiễm trên các hệ thống của người dùng.
Mối đe dọa này là một phần của xu hướng tấn công với mức độ tinh vi cao trong thị trường tiền điện tử. Trong trường hợp trên, các tác nhân đe dọa sẽ ngụy trang thành nhân viên của sàn giao dịch crypto OKX, đồng thời lập các nhóm chat Telegram dưới danh nghĩa kết nối sàn giao dịch và khách hàng VIP. Trong bài đăng trên blog vào hôm qua (6/12), Microsoft giải thích:
“Chúng tôi đang chứng kiến các cuộc tấn công phức tạp hơn, trong đó kẻ tấn công có kiến thức và sự chuẩn bị chu đáo; chúng thực hinej đúng các bước để chiếm được niềm tin của mục tiêu trước khi triển khai payloads.”
Vào tháng 10, mục tiêu được mời tham gia một nhóm chat mới và sau đó được yêu cầu phản hồi về file Excel với nội dung so sánh cấu trúc phí VIP của các sàn OKX, Binance và Huobi. Tài liệu này cung cấp chính xác và có nhận thức cao về thực tế giao dịch tiền điện tử nhưng nó cũng âm thầm tải xuống một tệp .dll độc hại để tạo một cửa hậu xâm nhập vào hệ thống của người dùng. Tiếp đó, mục tiêu sẽ được yêu cầu mở tệp .dll này.
Theo Microsoft, DEV-0139 chính là tác nhân mà công ty an ninh mạng Volexity nhận định là nhóm hacker Lazarus Group của Triều Tiên. Nhóm hacker này thường sử dụng một biến thể của phần mềm độc hại có tên AppleJeus. Cơ quan an ninh cơ sở hạ tầng và an ninh mạng liên bang Hoa Kỳ đã ghi nhận các vụ tấn công bằng AppleJeus vào năm 2021, trong khi nhà cung cấp dịch vụ an ninh mạng quốc gia của Nga là Kaspersky Lab phát hiện phần mềm này sớm hơn vào năm 2020.