CZ cảnh báo thủ đoạn hack nhắm vào người dùng sàn giao dịch
Changpeng Zhao, nhà sáng lập Binance khuyên người dùng không tải các file lạ để bị tránh nhiễm mã độc và hack mất tài sản.
Trong bài đăng Twitter ngày 7/12, Changpeng Zhao (CZ) chia sẻ phát hiện của đội bảo mật mạng Microsoft. “Các hacker có thể gửi một tệp excel mang tên ‘so sánh phí giao dịch.xls’ chứa mã độc hoặc backdoor mã hóa”, CZ viết.
Trong phần mềm máy tính, backdoor là “cửa sau” giúp hacker truy cập vào hệ thống cá nhân mà không cần sự cho phép của người dùng. Vì hệ thống bảo mật của máy tính không thể phát hiện ra backdoor, nạn nhân không nhận ra máy tính của mình đã xuất hiện lỗ hổng nguy hiểm này.
Don't download files!
— CZ 🔶 Binance (@cz_binance) December 7, 2022
Compromised friends may send a weaponized Excel file with the name "exchange fee comparision.xls". It contains malicious code, encoded backdoor and etc.
Hackers target the cryptocurrency industry - Microsoft Security Blog https://t.co/62F1Yh4u5u
Trong phân tích (tại đây), Microsoft chỉ ra các tội phạm mạng đã chuẩn bị kỹ lưỡng hơn để lấy lòng tin của mục tiêu trước khi phạm tội. Gần đây, một nhóm tấn công (gọi là DEV-0139) đã lợi dụng các nhóm chat Telegram để tiếp cận đội ngũ dự án và người dùng.
DEV-0139 giả làm đại diện của công ty đầu tư tiền mã hóa. Tháng 10/2022, nhóm tấn công mời nạn nhân vào một phòng chat khác và yêu cầu nạn nhân đánh giá cấu trúc phí của các sàn giao dịch.
Sau khi có được sự tin tưởng của mục tiêu, DEV-0139 gửi tệp Excel có tên "OKX Binance & Huobi VIP fee comparison.xls" (so sánh phí giao dịch của OKX, Binance và Huobi). Bên trong tệp vẫn có bảng so sánh phí với dữ liệu chính xác để nạn nhân không nghi ngờ.
Tệp Excel sẽ bắt đầu chuỗi hoạt động như sau:
- Mã độc trong tệp Excel xâm nhập UserForm trong VBA và truy xuất một số dữ liệu
- Mã độc cài một trang tính Excel khác được nhúng trong file và chuyển về chế độ ẩn. Trang Excel được mã hóa trong base64 rồi chuyển vào C:\ProgramData\Microsoft Media\ với tên VSDB688.tmp
- Tệp VSDB688.tmp tải xuống tệp PNG chứa ba tệp thực thi: một tệp Windows hợp pháp có tên logagent.exe, một tệp chứa mã độc DLL wsock32.dll và backdoor được mã hóa XOR.
- Tệp logagent.exe được dùng để tải wsock32.dll độc hại. Hacker sau đó dùng tệp DLL này để giải mã backdoor XOR. Hacker qua đó có thể truy cập vào hệ thống nạn nhân từ xa
Dưới bài viết của CZ, một số người cho biết họ cũng từng là nạn nhân của hình thức tấn công này. Tài khoản @fero0999 chia sẻ hacker đã lấy cắp toàn bộ NFT và tiền mã hóa của người này. Dù đã thử nhiều cách, @fero0999 vẫn không thể lấy lại được tài sản.
Đây không phải là chiêu thức lừa đảo quá mới mẻ trong giới công nghệ. Các hacker thường mạo danh người quen, thành viên gia đình, bạn bè hay đồng nghiệp để gửi đường liên kết và email chứa mã độc. Tương tự, hacker trong các vụ việc này tìm hiểu kỹ dự án và nhu cầu của người dùng để dễ dàng lấy được lòng tin của họ.
Chẳng hạn, ngày 19/10, DEV-0139 đã liên lạc với mục tiêu bằng cách tạo nhóm Telegram với cú pháp <Tên Công Ty Mục Tiêu> <Điều Chỉnh Phí Giao dịch OKX> và mời 3 nhân viên dự án. Kẻ tấn công đã tạo hồ sơ giả bằng cách sử dụng thông tin chi tiết từ nhân viên của công ty OKX. Ảnh chụp màn hình bên trên hiển thị tài khoản thực và tài khoản độc hại của hai người dùng có mặt trong nhóm.
Kẻ tấn công đánh vào mối quan tâm của người dùng là phí giao dịch và ngụy tạo vẻ ngoài đáng tin cậy. Do đó, người dùng nên tăng cường cảnh giác và hạn chế truy cập những liên kết hay tệp tin như trên. Các thông tin này thường sẽ được công bố trên trang web chính thức của sàn giao dịch.
Đọc thêm: