Binance, một sàn giao dịch tiền điện tử nổi tiếng, đang là mục tiêu của một hình thức hack mới, được thực hiện bởi một “tác nhân đe dọa”. [with] hiểu sâu sắc về kinh doanh tiền điện tử,” theo Giám đốc điều hành của Binance, Changpeng ‘CZ’ Zhao, người đã lên Twitter để đưa ra cảnh báo về cuộc tấn công.
“Đừng tải xuống các tệp!”, CZ cho biết vào thứ Ba.
Anh ấy tiếp tục giải thích rằng người dùng có thể nhận được tệp từ một người bạn, nhưng người bạn đó có thể đã bị xâm phạm. Người này có thể chia sẻ “tệp Excel được vũ khí hóa” với tên “so sánh phí trao đổi.xls”, chứa mã độc hại, trong số các mối đe dọa khác, nhắm mục tiêu vào các quỹ tiền điện tử.
CZ đề cập đến một Thông tin về Mối đe dọa Bảo mật của Microsoft bài đăng trên blog được xuất bản vào thứ Ba tuần này, trong đó thảo luận về “các cuộc tấn công có chủ đích nhằm vào ngành công nghiệp tiền điện tử.”
Trong bài đăng trên blog, có tuyên bố rằng do sự gia tăng của thị trường tiền điện tử trong vài năm qua, nó không chỉ thu hút sự chú ý của các nhà đầu tư mà còn của các tác nhân đe dọa, những kẻ nhắm mục tiêu trực tiếp vào các tổ chức trong ngành công nghiệp tiền điện tử nhằm mục đích thu lợi tài chính. Điều này là do các tác nhân đe dọa quan tâm đến việc giành quyền kiểm soát thị trường tiền điện tử.
Người ta phát hiện ra rằng,
“Các cuộc tấn công nhắm vào thị trường này có nhiều hình thức, bao gồm gian lận, khai thác lỗ hổng, ứng dụng giả mạo và sử dụng phần mềm đánh cắp thông tin, khi những kẻ tấn công cố gắng lấy tiền điện tử.”
Bạn không thể đặt niềm tin vào bạn bè của mình.
Theo nghiên cứu, các chiến lược đổi mới cũng đang trong quá trình được phát triển; một trong những chiến lược này đã được sử dụng bởi một tác nhân đe dọa được chỉ định là DEV-0139 (một tên gọi tạm thời được đặt cho một nhóm hoạt động đe dọa chưa xác định cho đến khi chúng được xác định và đặt tên).
Báo cáo cho biết: “Chúng tôi cũng đang chứng kiến các cuộc tấn công phức tạp hơn, trong đó tác nhân đe dọa cho thấy kiến thức và sự chuẩn bị kỹ lưỡng, thực hiện các bước để lấy lòng tin của mục tiêu trước khi triển khai tải trọng”.
DEV-0139 đã tham gia các nhóm trò chuyện trên Telegram với ý định tấn công các công ty đầu tư tiền điện tử. Sau đó, họ xác định mục tiêu của mình là ai trong số các thành viên của nhóm sau khi đóng vai trò là người hỗ trợ giao tiếp giữa các khách hàng VIP và các sàn giao dịch tiền điện tử.
Kẻ đe dọa đã giả làm đại diện của một công ty đầu tư tiền điện tử khác và vào tháng 10 năm 2022, đã mời mục tiêu vào một nhóm trò chuyện khác, nơi họ giả vờ yêu cầu phản hồi về cấu trúc phí mà các sàn giao dịch sử dụng. Trong nhóm trò chuyện này, kẻ đe dọa đã giả vờ yêu cầu phản hồi về cấu trúc phí được sử dụng bởi các sàn giao dịch.
Nhóm nghiên cứu cho biết: “Tác nhân đe dọa có kiến thức rộng hơn về lĩnh vực cụ thể này của ngành, cho thấy rằng chúng đã chuẩn bị kỹ lưỡng và nhận thức được thách thức hiện tại mà các công ty mục tiêu có thể gặp phải”.
Tuy nhiên, sau khi có được sự tin tưởng của mục tiêu, DEV-0139 đã gửi một tệp Excel được vũ khí hóa bao gồm tên của các sàn giao dịch lớn, có tiêu đề ‘OKX Binance & Huobi VIP fee comparision.xls’, trong đó có một số bảng về cấu trúc phí giữa các sàn giao dịch. Đáng chú ý, “dữ liệu trong tài liệu có khả năng chính xác để tăng độ tin cậy của chúng.”
Cuộc tấn công vào…
Theo nghiên cứu, tệp Excel được vũ khí hóa gây ra phản ứng dây chuyền của các sự kiện xảy ra. Khi người dùng tạo macro, các lần nhấp chuột và tổ hợp phím được ghi lại. Macro có thể là một hành động hoặc một loạt hành động có thể được ghi lại và thực hiện với số lần không giới hạn và tần suất theo yêu cầu.
Khai thác này sử dụng một macro độc hại được lưu trữ bên trong tệp. Mục đích của nó là lấy một số dữ liệu nhất định và ẩn một số mã quan trọng. Sau đó, nó sẽ đặt một trang tính Excel bổ sung vào thư mục C:ProgramDataMicrosoft Media và chạy nó ở chế độ ẩn. Sau đó, tệp sẽ tải xuống tệp PNG chứa ba tệp thực thi: tệp Windows hợp lệ, phiên bản độc hại của tệp thực thi và cửa hậu được mã hóa.
Khi được sử dụng cùng nhau, các yếu tố này “cho phép tác nhân đe dọa truy cập từ xa vào máy bị xâm nhập”.
Theo nghiên cứu, nhóm đã tìm thấy một tệp khác sử dụng cách tiếp cận tương tự; tuy nhiên, thay vì được cung cấp trong tệp Excel độc hại, nó được cung cấp trong gói MSI (Trình cài đặt phần mềm của Microsoft) cho chương trình CryptoDashboardV2 có dấu ngày tháng 6 năm 2022.
“Điều này có thể cho thấy các chiến dịch liên quan khác cũng được điều hành bởi cùng một tác nhân đe dọa, sử dụng các kỹ thuật tương tự,” nó nói.
Làm thế nào để bảo vệ và bảo vệ chính mình
Theo báo cáo, DEV-0139 sở hữu “kiến thức rộng về ngành công nghiệp tiền điện tử” và có khả năng các doanh nghiệp lớn cũng như nhỏ có thể trở thành mục tiêu.
Theo những gì họ nói, các cân nhắc về bảo mật được đề xuất có thể giúp giảm thiểu tác động của các phương pháp mà tác nhân đe dọa sử dụng. Mặc dù thực tế rằng đây là những hướng dẫn dành cho doanh nghiệp, bất kỳ người nào cũng có thể áp dụng các biện pháp phòng ngừa sau đây để tự bảo vệ mình:
Bạn có thể quản lý macro nào thực thi và trong điều kiện nào khi mở trang tính bằng cách sửa đổi cài đặt bảo mật macro Excel;
kích hoạt các quy tắc giảm bề mặt tấn công để bảo vệ bạn khỏi các chiến lược tấn công phổ biến được mô tả ở trên;
xác nhận rằng bản sao Tính năng Chống Vi-rút của Bộ bảo vệ Microsoft đã được cập nhật và tính năng giám sát theo thời gian thực đã được bật;
Tận dụng các dấu hiệu xâm phạm kèm theo để xác định xem chúng đã tồn tại trong môi trường của bạn hay chưa và để đánh giá nguy cơ xâm nhập có thể xảy ra;
Hướng dẫn người dùng cuối về cách bảo vệ thông tin cá nhân và doanh nghiệp của họ khi sử dụng mạng xã hội, cách lọc thông tin liên lạc không mong muốn, cách nhận biết mồi nhử trong email lừa đảo trực tuyến và lỗ hổng tưới nước, cũng như cách báo cáo các nỗ lực do thám và hoạt động đáng ngờ khác;
Thông báo cho người dùng cuối về cách tránh bị nhiễm phần mềm độc hại, chẳng hạn như bằng cách bỏ qua hoặc xóa các email hoặc tệp đính kèm không mong muốn và không mong muốn được gửi qua các ứng dụng nhắn tin nhanh hoặc mạng xã hội, là một biện pháp phòng ngừa quan trọng.
Khuyến khích người dùng cuối tham gia vào các biện pháp vệ sinh thông tin xác thực và kiểm tra xem Tường lửa của Bộ bảo vệ Microsoft có hoạt động liên tục trên máy tính của họ không.
Tổng hợp bởi Coinbold
