Trong một e-mail mới được phát hiện, một tin tuyển dụng giả mạo dường như đến từ một công ty bitcoin có trụ sở chính ở Anh đang nhắm mục tiêu cụ thể đến thông tin và tiền tệ kỹ thuật số của những người dùng kiếm được bitcoin.
Công ty an ninh mạng Secureworks đã phát hiện một email chứa tin tuyển dụng giả mạo dường như đến từ một công ty bitcoin nổi tiếng có trụ sở tại Vương quốc Anh. Khi thông báo này bật lên, nó đang cài đặt phần mềm độc hại trên máy của người dùng. Tuy nhiên, không rõ liệu nỗ lực hack có nhằm đánh cắp bitcoin hay thông tin của những người đã mở email hay không.
Rafe Pilling, nhà nghiên cứu bảo mật cấp cao tại Secureworks, cho biết trong một tuyên bố rằng mẫu mã hóa được quan sát trong cuộc tấn công này là ‘Nhóm Lazarus’, có liên quan đến nhóm hacker khét tiếng của Triều Tiên đã thực hiện vụ tấn công ransomware WannaCry và vụ tấn công trị giá 81 triệu USD. Vụ cướp ngân hàng trung ương Bangladesh.
Trong email nơi cuộc tấn công được thực hiện, có một tin tuyển dụng từ giám đốc tài chính của một công ty mạo hiểm đang phát triển nhanh chóng hoạt động trong lĩnh vực tiền điện tử có trụ sở tại Vương quốc Anh. Secureworks không tiết lộ công ty này là công ty nào.
Khi nhấn vào email đến sẽ xuất hiện menu thả xuống về file word đính kèm. Khi bấm vào tài liệu này, bạn sẽ thấy một tài liệu word về tin tuyển dụng giả mạo. Nhưng phần mềm ‘Remote Access Trojan (RAT)’ được cài đặt ở chế độ nền.
Pilling cho biết trong một tuyên bố: “Phần mềm độc hại được cài đặt cho phép kẻ tấn công, cùng với nghiên cứu hệ thống cơ bản, cài đặt phần mềm độc hại cần thiết khác nếu đó là mục tiêu quan tâm”.
Secureworks thu được cuộc tấn công lừa đảo này từ cơ sở dữ liệu về các cuộc tấn công bằng phần mềm độc hại mà công ty theo dõi. Vì lý do này, không có con số rõ ràng về số lượng người bị ảnh hưởng bởi vụ tấn công và không rõ liệu cuộc tấn công này có thành công hay không.
Nhưng lời giải thích của Pilling về chủ đề này như sau: “Tôi nghĩ rằng mồi nhử này đã được cố gắng chuyển đi dưới dạng một lần gửi thư, sau giai đoạn này họ sẽ cố gắng làm điều gì đó khác bằng cách sử dụng cùng một macro (cơ sở mã hóa). Nhìn chung, nhóm này là một nhóm rất tích cực. Chúng tôi chỉ thấy một số dấu hiệu của toàn bộ hoạt động. Cuộc tấn công này chỉ là một trong nhiều cuộc tấn công khác với các hoạt động mạng mà chúng tôi liên kết với Triều Tiên.”
Nguồn: http://www.businessinsider.com/north-korean-hackers-targeting-people-in-cryptocurrency-2017-12
