Các hacker Triều Tiên chiếm quyền Telegram, tổ chức các cuộc gọi Zoom giả mạo và triển khai malware RAT để rút tiền từ ví crypto trong một chiến dịch $300m lâu dài.
Tóm tắt
- Kẻ tấn công chiếm quyền các tài khoản Telegram đáng tin cậy, sau đó dụ các giám đốc điều hành tiền điện tử tham gia các cuộc gọi Zoom hoặc Teams giả mạo bằng lời mời lịch giả mạo.
- Video đã ghi hình sẵn của các nhân vật trong ngành giúp che giấu các tệp “patch” chứa RAT, cung cấp cho hacker quyền kiểm soát toàn bộ hệ thống và truy cập ví tiền.
- Chiến dịch là một phần của chiến dịch rộng lớn hơn của Triều Tiên đã đánh cắp hơn $2 tỷ USD trong lĩnh vực crypto, bao gồm cả vụ vi phạm kỷ lục của Bybit.
Các tội phạm mạng Triều Tiên đã đánh cắp hơn $300 triệu USD qua một chiến dịch kỹ thuật xã hội tinh vi mô phỏng các nhân vật đáng tin cậy trong các cuộc họp video giả mạo, theo cảnh báo an ninh do nhà nghiên cứu bảo mật MetaMask Taylor Monahan phát hành.
Hackers Triều Tiên theo “chiến dịch dài hơi”
Chiến dịch này, được mô tả như một hoạt động “lâu dài”, nhắm vào các giám đốc điều hành tiền điện tử thông qua các kênh truyền thông bị xâm nhập, Monahan cho biết trong cảnh báo.
Cuộc tấn công bắt đầu khi hacker kiểm soát một tài khoản Telegram đáng tin cậy, thường là của một nhà đầu tư mạo hiểm hoặc liên hệ hội nghị, theo nhà nghiên cứu. Kẻ tấn công lợi dụng lịch trò chuyện trước đó để thiết lập tính hợp lệ trước khi hướng nạn nhân tới các cuộc gọi video trên Zoom hoặc Microsoft Teams qua các liên kết lịch giả mạo.
Trong cuộc họp, nạn nhân thấy như thể đang xem một video trực tiếp của liên hệ của họ. Thường thì đó là một bản ghi âm đã được tái sử dụng từ một podcast hoặc xuất hiện công khai, theo cảnh báo.
Chiến dịch kết thúc khi kẻ mạo danh giả lập một sự cố kỹ thuật. Sau khi đề cập đến các vấn đề âm thanh hoặc hình ảnh, kẻ tấn công hướng dẫn nạn nhân tải xuống một script cụ thể hoặc cập nhật một bộ phát triển phần mềm. Tệp này chứa phần mềm độc hại, nhà nghiên cứu cho biết.
Khi đã cài đặt, phần mềm độc hại — thường là Remote Access Trojan (RAT) — cung cấp cho hacker quyền kiểm soát toàn bộ hệ thống, theo cảnh báo. RAT làm rỗng ví tiền điện tử và trích xuất dữ liệu nhạy cảm, bao gồm cả các giao thức bảo mật nội bộ và token phiên Telegram, sau đó được sử dụng để nhắm mục tiêu các nạn nhân khác trong mạng lưới.
Monahan cho biết hoạt động này “biến mối quan hệ chuyên nghiệp thành vũ khí,” khai thác áp lực tâm lý của các cuộc họp kinh doanh để gây ra sai lầm trong phán đoán. Nhà nghiên cứu khuyên rằng bất kỳ yêu cầu tải xuống phần mềm nào trong cuộc gọi đều nên được xem như một tín hiệu tấn công tích cực.
Chiến lược cuộc họp giả mạo này là một phần của chiến dịch rộng lớn hơn của các tác nhân Triều Tiên, những người đã đánh cắp ước tính hơn $2 tỷ USD từ ngành công nghiệp tiền điện tử trong năm qua, bao gồm cả vụ vi phạm của Bybit, theo các báo cáo trong ngành.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
