Một công ty bảo mật cho biết tin tặc Triều Tiên đã tạo ra một sàn giao dịch tiền điện tử giả để lây nhiễm phần mềm độc hại vào các thiết bị kết nối internet của người dùng – cho phép họ truy cập vào các mạng nhạy cảm để có thể đánh cắp tài sản tiền điện tử.
Tuyên bố được đưa ra bởi nhà cung cấp bảo mật Volexity và được hỗ trợ bởi Malwarebytes .
Trong một bài đăng trên blog, Volexity tuyên bố rằng nhóm hack Lazarus khét tiếng – được cho là có trụ sở tại Bình Nhưỡng – đã lên kế hoạch. Nó cho biết Lazarus đã tung ra sàn giao dịch giả vào tháng 6 năm nay.
Được đặt tên là BloxHolder, nền tảng giao dịch tiền điện tử bị cáo buộc đã thúc đẩy hoạt động của mình như vậy:
“Sử dụng các bot giao dịch tiền điện tử đáng tin cậy của chúng tôi để tự động hóa các chiến lược giao dịch tiền điện tử trên hơn 20 sàn giao dịch với các giải pháp tự động hóa giao dịch tại chỗ tập trung vào quyền riêng tư của chúng tôi.”
Nhưng Volexity tuyên bố rằng BloxHolder là một bản sao của nền tảng giao dịch trung thực HaasOnline. Nó đưa ra các ví dụ về các trang web gần giống nhau và văn bản giống hệt nhau từng chữ từ hai trang web để làm bằng chứng.
Trojan hoạt động như thế nào?
Volexity tuyên bố rằng người dùng BloxHolder được nhắc chấp nhận tệp trình cài đặt Microsoft đã được sửa đổi để chứa một biến thể của trojan AppleJeus.
Các chuyên gia bảo mật nói rằng AppleJeus, được Kaspersky Labs xác định lần đầu tiên vào năm 2018, thu thập thông tin về các hệ thống mà nó lây nhiễm. Nó có thể thu thập thông tin chi tiết về địa chỉ máy tính, tên máy tính và phiên bản hệ điều hành. Bước truy cập ban đầu này sau đó cho phép tin tặc đánh cắp tài sản tiền điện tử.
Cryptonews.com đã phát hiện ra rằng phần mềm chặn vi-rút như MacAfee, Avast và Ahn Labs của Hàn Quốc đều gắn cờ trang web là trang web “bị nhiễm trojan” hoặc “rủi ro”.
Volexity nói thêm rằng họ đã “xác định một số tệp Microsoft Installer khác có chủ đề tiền điện tử được liên kết với chiến dịch này.”
Các tác giả của báo cáo đã cảnh báo:
“Tập đoàn Lazarus tiếp tục nỗ lực nhắm mục tiêu người dùng tiền điện tử, bất chấp sự chú ý liên tục đến các chiến dịch và chiến thuật của họ.”
Volexity nói thêm rằng họ “trước đây chưa ghi nhận việc sử dụng các tài liệu Microsoft Office để triển khai các biến thể AppleJeus” – điều này có thể đại diện cho một “sự thay đổi” trong chiến thuật từ Lazarus.
Đài SBS của Hàn Quốc lưu ý rằng Lazarus được cho là đã báo cáo cho Tổng cục Trinh sát do Bình Nhưỡng điều hành. Cục được cho là cơ quan tình báo Bắc Triều Tiên chịu trách nhiệm điều hành các hoạt động bí mật của quốc gia.
Tháng trước, một học giả hàng đầu đã kêu gọi Seoul làm nhiều hơn để ngăn chặn miền Bắc tấn công các mục tiêu tiền điện tử ở phía nam DMZ.