EtherHiding là gì? Kỹ thuật tấn công mới từ hacker Triều Tiên
Khám phá EtherHiding: Phương thức tấn công tiền điện tử mới
Theo cảnh báo từ Nhóm Tình báo Đe dọa của Google, một kỹ thuật tấn công mạng mới có tên EtherHiding đã xuất hiện từ năm 2023. Đây là phương pháp được các nhóm hacker Triều Tiên sử dụng để triển khai mã độc, nhắm vào việc đánh cắp tiền điện tử và các thông tin nhạy cảm của người dùng thông qua việc nhúng mã độc vào hợp đồng thông minh trên các mạng blockchain công khai.
Kỹ thuật EtherHiding thường được kết hợp với các chiêu trò lừa đảo xã hội. Kẻ tấn công sẽ tiếp cận nạn nhân bằng các lời mời làm việc giả mạo hoặc các cuộc phỏng vấn hấp dẫn, sau đó điều hướng họ đến các trang web hoặc liên kết độc hại.
Cơ chế hoạt động của kỹ thuật tấn công EtherHiding
Cuộc tấn công bằng EtherHiding diễn ra theo một quy trình hai giai đoạn tinh vi, bắt đầu bằng việc chiếm quyền kiểm soát một trang web hợp pháp.
Giai đoạn 1: Xâm nhập và nhúng mã độc
Đầu tiên, các hacker sẽ xâm nhập và nhúng một đoạn mã JavaScript (Loader Script) vào một trang web hợp pháp. Khi người dùng truy cập và tương tác với trang web đã bị xâm phạm này, đoạn mã sẽ được kích hoạt.
Giai đoạn 2: Giao tiếp với mã độc hợp đồng thông minh
Tiếp theo, trang web bị xâm nhập sẽ giao tiếp với một gói mã độc khác được cấy sẵn trong một hợp đồng thông minh. Đáng chú ý, quá trình này sử dụng chức năng “chỉ đọc” (read-only) để tương tác với mạng blockchain. Điều này giúp kẻ tấn công tránh bị phát hiện và giảm thiểu phí giao dịch vì không tạo ra giao dịch thực sự trên sổ cái.
Thủ đoạn tinh vi của hacker Triều Tiên
Các nhóm hacker này xây dựng một vỏ bọc rất chuyên nghiệp để thực hiện hành vi lừa đảo của mình. Chúng thường mạo danh các công ty, đơn vị tuyển dụng và tạo các hồ sơ giả để nhắm mục tiêu vào các nhà phát triển phần mềm và tiền điện tử.
Giai đoạn lừa đảo tuyển dụng
Sau khi tiếp cận ban đầu, cuộc trò chuyện sẽ được chuyển sang các nền tảng nhắn tin như Discord hoặc Telegram. Tại đây, nạn nhân được yêu cầu thực hiện một bài kiểm tra tuyển dụng hoặc hoàn thành một nhiệm vụ lập trình. Google Threat Intelligence cho biết, “Phần cốt lõi của cuộc tấn công xảy ra trong giai đoạn đánh giá kỹ thuật.”
Triển khai mã độc đa tầng
Trong quá trình này, nạn nhân bị lừa tải xuống các tệp độc hại từ các kho mã nguồn như GitHub. Đôi khi, kẻ tấn công còn dụ nạn nhân vào một cuộc gọi video, hiển thị thông báo lỗi giả và yêu cầu họ tải xuống một bản vá – thực chất là mã độc. Khi phần mềm độc hại được cài đặt, một mã độc JavaScript giai đoạn hai có tên “JADESNOW” sẽ được triển khai để đánh cắp dữ liệu. Với các mục tiêu có giá trị cao, hacker có thể triển khai giai đoạn ba, cho phép chúng truy cập lâu dài vào máy tính bị xâm nhập và các hệ thống khác trong mạng.
Kết luận
Báo cáo về kỹ thuật EtherHiding một lần nữa nhấn mạnh sự cần thiết phải cảnh giác cao độ trong cộng đồng tiền điện tử. Người dùng và các tổ chức cần liên tục cập nhật các biện pháp bảo mật để tự bảo vệ mình trước những âm mưu ngày càng tinh vi của tội phạm mạng nhằm đánh cắp tiền điện tử và thông tin cá nhân.
Câu hỏi thường gặp (FAQ)
1. EtherHiding là gì?
EtherHiding là một kỹ thuật tấn công mạng được các hacker Triều Tiên sử dụng, trong đó chúng nhúng mã độc vào hợp đồng thông minh trên blockchain. Mã độc này được kích hoạt khi người dùng tương tác với một trang web đã bị xâm phạm, nhằm mục đích đánh cắp tiền điện tử và dữ liệu.
2. Ai là mục tiêu chính của các cuộc tấn công EtherHiding?
Mục tiêu chính là các nhà phát triển phần mềm và tiền điện tử. Kẻ tấn công thường sử dụng các lời mời làm việc giả mạo và các bài kiểm tra kỹ thuật để lừa nạn nhân tải xuống phần mềm độc hại.
3. Làm thế nào để tự bảo vệ trước kỹ thuật tấn công này?
Để tự bảo vệ, bạn nên hết sức thận trọng với các lời mời làm việc không rõ nguồn gốc, đặc biệt là khi được yêu cầu tải xuống tệp từ các liên kết lạ. Luôn xác minh danh tính của nhà tuyển dụng và sử dụng các phần mềm diệt virus cập nhật để quét các tệp trước khi mở.
