Hãng bảo mật Kaspersky vừa đưa ra thông báo về nhóm hacker Librarian Ghouls (hay còn gọi là Rare Werewolf) đã tấn công hàng trăm thiết bị của người dùng Nga để khai thác tiền điện tử trái phép (cryptojacking).
Theo Kaspersky, nhóm hacker này sử dụng các email lừa đảo chứa mã độc, ngụy trang dưới dạng tin nhắn từ các tổ chức hợp pháp, các tài liệu chính thức hoặc lệnh thanh toán. Chi tiết báo cáo tại đây.
Hacker thu thập thông tin thiết bị trước khi đào coin
Sau khi xâm nhập thành công, hacker thiết lập kết nối từ xa, tắt các hệ thống bảo mật như Windows Defender, lập trình cho thiết bị tự động bật/tắt vào khung giờ 1h-5h sáng để tiếp tục truy cập trái phép và đánh cắp thông tin đăng nhập.
Kaspersky cho biết: “Chúng tôi nhận thấy rằng những kẻ tấn công sử dụng kỹ thuật này để che đậy hành vi, khiến người dùng không hề hay biết thiết bị của mình đã bị xâm nhập.”.
Họ cũng thu thập thông tin về RAM, CPU, GPU để tối ưu hóa việc khai thác tiền điện tử trước khi triển khai.
Chiến dịch cryptojacking diễn ra từ năm 2024
Chiến dịch tấn công này bắt đầu từ tháng 12 và vẫn đang tiếp diễn, ảnh hưởng đến hàng trăm người dùng Nga, đặc biệt là các doanh nghiệp công nghiệp và trường kỹ thuật. Các nạn nhân khác cũng được ghi nhận ở Belarus và Kazakhstan.
Mặc dù nguồn gốc của nhóm chưa được xác định, Kaspersky cho biết các email lừa đảo được soạn thảo bằng tiếng Nga và chứa các tài liệu mồi nhử bằng tiếng Nga. Điều này cho thấy mục tiêu chính của chiến dịch này có thể là những người ở Nga hoặc nói tiếng Nga.
Librarian Ghouls có thể là hacktivist
Kaspersky suy đoán rằng Librarian Ghouls có thể là hacktivist, những người sử dụng hacking như một hình thức bất tuân dân sự để thúc đẩy một chương trình nghị sự chính trị, do việc sử dụng các kỹ thuật thường thấy ở các nhóm tương tự, chẳng hạn như dựa vào các tiện ích của bên thứ ba hợp pháp.
Một công ty an ninh mạng khác của Nga, BI. ZONE cho biết Rare Werewolf đã hoạt động ít nhất từ năm 2019.
