Các tác nhân đe dọa từ Triều Tiên một lần nữa nhắm vào các nhà phát triển và chuyên gia tiền mã hóa bằng cách sử dụng cuộc gọi video trực tiếp trên Zoom để lừa họ cài đặt phần mềm độc hại.

Tin tặc có trụ sở tại Triều Tiên đang sử dụng tài khoản Telegram ID bị xâm phạm và video AI deepfake để mạo danh các liên hệ quen biết và phân phối mã độc, theo đồng sáng lập BTC Prague Martin Kuchař.

"Một chiến dịch tấn công mạng cấp cao hiện đang nhắm vào người dùng Bitcoin và crypto. Tôi đã bị ảnh hưởng cá nhân thông qua một tài khoản Telegram ID bị xâm phạm," Kuchař viết trên X.

Theo bài đăng của ông, nạn nhân nhận được cuộc gọi từ một liên hệ quen biết, vốn là tài khoản Telegram ID bị chiếm đoạt bởi kẻ tấn công. Thông qua các cuộc gọi trực tiếp này, kẻ xấu giả làm bạn bè của nạn nhân bằng công nghệ deepfake, trong khi vẫn tắt tiếng.

Sự im lặng này hoạt động như mồi nhử, vì giai đoạn tiếp theo của cuộc tấn công liên quan đến việc thuyết phục nạn nhân cài đặt plugin hoặc tệp được cho là sửa các sự cố âm thanh. Trên thực tế, tệp này chứa phần mềm độc hại, thường là Remote Access Trojan, cấp cho kẻ tấn công quyền truy cập đầy đủ vào hệ thống sau khi thực thi.

Ngay khi có được quyền truy cập, kẻ tấn công có thể xem tất cả các liên hệ Telegram ID và tái sử dụng tài khoản bị xâm phạm để tiếp cận nạn nhân tiếp theo theo cùng một cách.

"Thông báo cho đồng nghiệp và mạng lưới của bạn ngay lập tức. Không tham gia bất kỳ cuộc gọi Zoom/Teams nào chưa được xác minh," Kuchař bổ sung.

Các nhà nghiên cứu bảo mật tại công ty an ninh mạng Huntress đã quan sát thấy các cuộc tấn công tương tự được phát động bởi TA444, một nhóm đe dọa được nhà nước Triều Tiên hậu thuẫn hoạt động dưới sự điều hành của Lazarus Group khét tiếng.

Tin tặc Triều Tiên đã chiếm đoạt hơn 300 triệu đô la 

Mặc dù không phải là một phương thức tấn công mới, tin tặc Triều Tiên đã đánh cắp hơn 300 triệu đô la bằng các kỹ thuật tương tự như cảnh báo của nhà nghiên cứu bảo mật MetaMask Taylor Monahan vào tháng trước.

Monahan cảnh báo rằng kẻ tấn công thường dựa vào lịch sử trò chuyện trước đó để tìm hiểu thêm về nạn nhân trước khi sử dụng nó chống lại họ để giành được lòng tin.

Các mục tiêu phổ biến nhất là những người gắn bó sâu sắc với không gian crypto, bao gồm nhà phát triển, nhân viên sàn giao dịch và giám đốc điều hành công ty. Trong một ví dụ từ tháng 9 năm ngoái, một cuộc tấn công có mục tiêu vào giám đốc điều hành THORchain đã dẫn đến tổn thất khoảng 1,3 triệu đô la sau khi ví MetaMask bị rút cạn mà không có bất kỳ lời nhắc hệ thống hoặc yêu cầu phê duyệt của quản trị viên nào.