Mã độc ‘Sầu riêng’ nhắm vào công ty tiền số
Nhóm hacker khét tiếng Kimsuky sử dụng phần mềm “Durian” (Sầu riêng), âm thầm cài mã độc để đánh cắp dữ liệu của các công ty tiền số.
Cointelegraph dẫn báo cáo tình hình bảo mật trong quý I/2024 vừa được Kaspersky công bố, cho thấy nhóm hacker Kimsuky đã dùng một mã độc mới tên “Durian” để thực hiện các cuộc tấn công liên tục nhắm vào các công ty tiền số. Kimsuky được cho là có liên quan đến Triều Tiên.
Chuyên gia bảo mật của Kaspersky mô tả, phần mềm độc hại ban đầu hoạt động ẩn mình như một trình cài đặt thông thường. Nó được thiết kế để có thể tồn tại lâu dài trong máy chủ nạn nhân, sau đó tự động thêm vào Windows những phần mềm độc hại khác mà người dùng không phát hiện ra.
Mã độc “Sầu riêng” có khả năng tạo “backdoor” (cửa hậu – cho phép hacker vượt qua hàng rào bảo mật, xâm nhập vào hệ thống mà không cần sự cho phép của người dùng). Từ đó tin tặc tiến hành các lệnh tải xuống, gửi tệp và trích xuất dữ liệu trên máy chủ nạn nhân.
Đáng chú ý, mã độc này tấn công qua các phần mềm bảo mật chính thống. Ít nhất hai công ty về công nghệ và tiền số của Hàn Quốc đã trở thành nạn nhân của nhóm tin tặc. Hậu quả của sự việc chưa được công bố và đánh giá đầy đủ.
Với sự giúp sức của mã độc “Sầu riêng”, tin tặc có thể lấy cắp dữ liệu được lưu trữ trên trình duyệt bao gồm cookie và thông tin đăng nhập. Từ đó thực hiện các bước tiếp theo, đánh cắp hàng triệu USD trong ví tiền số của nạn nhân.
“Durian” là mã độc mới được phát hiện. Dữ liệu bảo mật cho thấy nó được phát triển từ công cụ proxy tùy chỉnh có tên Andariel. Trong giới bảo mật, Andariel là công cụ quen thuộc của nhóm tin tặc Andariel – một nhánh nhỏ của tập đoàn hacker Lazarus Group. Kaspersky lưu ý Kimsuky có liên quan đến nhóm tin tặc khét tiếng bậc nhất thế giới.
Sky Mavis, startup của Việt Nam từng là nạn nhân của Lazarus. Năm 2022, cầu nối Ronin của công ty bị hack, lấy đi lượng tiền điện tử trị giá hơn 600 triệu USD. FBI sau đó tuyên bố nhóm hacker Lazarus là thủ phạm trong vụ tấn công.
Đại diện SkyMavis cho biết hacker đã khai thác được 4 trên 5 khóa riêng của trình xác thực thông qua một backdoor của hệ thống. Từ đó tin tặc có thể cung cấp đủ chữ ký xác thực cho bất cứ giao dịch nào chúng muốn, dẫn đến hơn 600 triệu USD tiền số bị đánh cắp.
Theo Cointelegraph, Lazarus nổi lên từ 2009, tự khẳng định mình là một trong những nhóm tin tặc tiền điện tử khét tiếng nhất thế giới. Cuối tháng 4, thám tử blockchain ZachXBT cho biết nhóm này đã “rửa” thành công hơn 200 triệu USD tiền mã hóa bất hợp pháp từ 2020 đến 2023. Tập đoàn Lazarus cũng bị cáo buộc đánh cắp hơn 3 tỷ USD tiền mã hóa trong vòng 6 năm, tính đến 2023.
Khương Nha