Trang Chủ
Baby Dragron
“EtherHiding” được triển khai qua hai giai đoạn: đầu tiên là xâm nhập một trang web, sau đó trang web này sẽ giao tiếp với mã độc được nhúng sẵn trong một hợp đồng thông minh.
Hacker Bắc Triều Tiên sử dụng “EtherHiding” để đánh cắp tiền điện tử
Theo Nhóm Tình báo Đe dọa (Threat Intelligence Group) của Google, các tin tặc Bắc Triều Tiên đã áp dụng một phương thức triển khai phần mềm độc hại được thiết kế để đánh cắp tiền điện tử và thông tin nhạy cảm bằng cách nhúng mã độc vào các hợp đồng thông minh trên các mạng chuỗi khối (blockchain) công khai.
Kỹ thuật này, được gọi là “EtherHiding”, xuất hiện vào năm 2023 và thường được sử dụng kết hợp với các kỹ thuật tấn công phi kỹ thuật (social engineering), chẳng hạn như tiếp cận nạn nhân bằng các lời mời làm việc giả mạo và các cuộc phỏng vấn cấp cao, hướng người dùng đến các trang web hoặc liên kết độc hại, theo Google.
Tin tặc sẽ kiểm soát một địa chỉ trang web hợp pháp thông qua một “Loader Script” (tập lệnh tải) và nhúng mã JavaScript vào trang web. Điều này kích hoạt một gói mã độc hại riêng biệt trong một hợp đồng thông minh được thiết kế để đánh cắp tiền và dữ liệu ngay khi người dùng tương tác với trang web bị xâm nhập.
Minh họa đơn giản về cách thức hoạt động của vụ tấn công “EtherHiding”. Nguồn: Google Cloud
Các nhà nghiên cứu của Google cho biết, trang web bị xâm nhập sẽ giao tiếp với mạng chuỗi khối bằng chức năng “chỉ đọc” (read-only) mà không thực sự tạo ra giao dịch trên sổ cái. Điều này cho phép các tác nhân đe dọa tránh bị phát hiện và giảm thiểu phí giao dịch.
Báo cáo nhấn mạnh sự cần thiết của việc cảnh giác trong cộng đồng tiền điện tử để giữ an toàn cho người dùng khỏi các vụ lừa đảo và tấn công mạng thường được các tác nhân đe dọa sử dụng nhằm đánh cắp tiền và thông tin có giá trị từ các cá nhân cũng như tổ chức.
Giải mã chiến dịch tấn công phi kỹ thuật của Bắc Triều Tiên
Theo Google, các tác nhân đe dọa sẽ thành lập các công ty, đại lý tuyển dụng và hồ sơ giả mạo để nhắm mục tiêu đến các nhà phát triển phần mềm và tiền điện tử với các lời mời làm việc giả mạo.
Sau lời chào mời ban đầu, những kẻ tấn công chuyển cuộc giao tiếp sang các nền tảng nhắn tin như Discord hoặc Telegram và hướng dẫn nạn nhân làm bài kiểm tra tuyển dụng hoặc hoàn thành một nhiệm vụ lập trình.
“Cốt lõi của cuộc tấn công xảy ra trong giai đoạn đánh giá kỹ thuật”, Nhóm Tình báo Đe dọa của Google cho biết. Trong giai đoạn này, nạn nhân thường được yêu cầu tải xuống các tệp độc hại từ các kho lưu trữ mã trực tuyến như GitHub, nơi chứa tải trọng độc hại (malicious payload).
Trong các trường hợp khác, những kẻ tấn công dụ nạn nhân vào một cuộc gọi video, nơi một thông báo lỗi giả mạo được hiển thị cho người dùng, nhắc họ tải xuống một bản vá để sửa lỗi. Bản vá phần mềm này cũng chứa mã độc hại.
Sau khi phần mềm độc hại được cài đặt trên máy, một phần mềm độc hại giai đoạn hai dựa trên JavaScript có tên “JADESNOW” sẽ được triển khai để đánh cắp dữ liệu nhạy cảm.
Google cảnh báo, đôi khi, giai đoạn thứ ba được triển khai cho các mục tiêu có giá trị cao, cho phép những kẻ tấn công truy cập lâu dài vào máy bị xâm nhập và các hệ thống khác được kết nối với mạng của nó.
