Tin tặc Triều Tiên chiếm quyền kiểm soát Telegram, dàn dựng các cuộc gọi Zoom giả mạo và triển khai phần mềm độc hại RAT để rút sạch ví tiền điện tử trong một chiến dịch lừa đảo dài hạn trị giá 300 triệu đô la.
Tóm tắt
Những kẻ tấn công chiếm quyền kiểm soát các tài khoản Telegram đáng tin cậy, sau đó dụ dỗ các giám đốc điều hành trong ngành tiền điện tử tham gia các cuộc gọi Zoom hoặc Teams giả mạo bằng cách sử dụng lời mời lịch giả mạo.
Video được ghi hình trước của các nhân vật nổi tiếng trong ngành che giấu các tệp “vá lỗi” chứa phần mềm độc hại RAT, cho phép tin tặc kiểm soát hoàn toàn hệ thống và truy cập ví.
Kế hoạch này là một phần trong chiến dịch rộng lớn hơn của Triều Tiên đã đánh cắp hơn 2 tỷ đô la tiền điện tử, bao gồm cả vụ vi phạm kỷ lục Bybit.
Theo cảnh báo an ninh do nhà nghiên cứu an ninh Taylor Monahan của MetaMask đưa ra, tội phạm mạng Triều Tiên đã đánh cắp hơn 300 triệu đô la thông qua một chiến dịch kỹ thuật xã hội tinh vi, mạo danh các nhân vật đáng tin cậy trong ngành trong các cuộc họp video giả mạo.
Tin tặc Triều Tiên thực hiện “chiêu trò lừa đảo dài hạn”
Theo cảnh báo của Monahan, kế hoạch này, được mô tả là một chiến dịch “lừa đảo dài hạn”, nhắm vào các giám đốc điều hành tiền điện tử thông qua các kênh liên lạc bị xâm nhập.
Cuộc tấn công bắt đầu khi tin tặc giành quyền kiểm soát một tài khoản Telegram đáng tin cậy, thường thuộc về một nhà đầu tư mạo hiểm hoặc người liên hệ hội nghị mà nạn nhân quen biết. Kẻ tấn công lợi dụng lịch sử trò chuyện trước đó để thiết lập tính hợp pháp trước khi hướng nạn nhân đến các cuộc gọi video trên Zoom hoặc Microsoft Teams thông qua các liên kết lịch được ngụy trang.
Trong cuộc họp, các nạn nhân xem những gì dường như là video trực tiếp của người liên hệ. Theo cảnh báo, đoạn video này thường là bản ghi âm được tái sử dụng từ một podcast hoặc buổi xuất hiện trước công chúng.
Cuộc tấn công lên đến đỉnh điểm khi kẻ mạo danh giả vờ gặp sự cố kỹ thuật
Sau khi viện dẫn các vấn đề về âm thanh hoặc video, kẻ tấn công hướng dẫn nạn nhân tải xuống một tập lệnh cụ thể hoặc cập nhật bộ công cụ phát triển phần mềm. Tập tin này chứa phần mềm độc hại, theo báo cáo của nhà nghiên cứu.
Sau khi được cài đặt, phần mềm độc hại—thường là Trojan truy cập từ xa (RAT)—cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống, theo cảnh báo. RAT rút sạch tiền điện tử trong ví và trích xuất dữ liệu nhạy cảm, bao gồm các giao thức bảo mật nội bộ và mã thông báo phiên Telegram, sau đó được sử dụng để nhắm mục tiêu vào các nạn nhân khác trong mạng.
Monahan cho biết hoạt động này “lợi dụng phép lịch sự chuyên nghiệp”, khai thác áp lực tâm lý trong các cuộc họp kinh doanh để gây ra sai lầm trong phán đoán. Nhà nghiên cứu khuyên rằng bất kỳ yêu cầu tải xuống phần mềm nào trong khi gọi điện đều nên được coi là tín hiệu tấn công đang diễn ra.
Chiến lược dàn dựng cuộc họp giả mạo là một phần của chiến dịch rộng lớn hơn do các thế lực Triều Tiên thực hiện, những kẻ đã đánh cắp ước tính 2 tỷ đô la từ ngành công nghiệp tiền điện tử trong năm qua, bao gồm cả vụ tấn công Bybit, theo các báo cáo trong ngành.
Xem các tin tức mới nhất về bitcoin và thị trường điện tử tại : Tin tức Crypto
Tham gia ngay Tộc Crypto để nhận được những bài viết đánh giá và phân tích thị trường, Tham gia vào cuộc thảo luận về tiền điện tử và nhận được câu trả lời cho mọi câu hỏi từ các chuyên gia và những nhà giao dịch có kinh nghiệm của chúng tôi nhé
Binance
OKX
Remitano
Bybit
BigONE
BingX
