Lazarus của Triều Tiên đang nhắm vào các giám đốc điều hành tiền điện tử qua các cuộc gọi Zoom

Các hacker tiền điện tử từ Triều Tiên đang tinh chỉnh một trò lừa đảo quen thuộc. Trước đây, họ dựa vào các lời mời làm việc giả và các đề xuất đầu tư để phát tán phần mềm độc hại — giờ đây, phương pháp của họ đang trở nên tinh vi hơn.

Trước đây, các cuộc tấn công này phụ thuộc vào việc nạn nhân tương tác trực tiếp với các tệp bị nhiễm. Nhưng sự phối hợp chặt chẽ hơn giữa các nhóm hacker đã cho phép họ vượt qua điểm yếu này, sử dụng các cuộc gọi video tái chế và giả mạo các giám đốc điều hành Web3 để lừa gạt mục tiêu.

Triều Tiên — Tiên phong trong việc hack tiền mã hóa

Các hacker tiền điện tử Triều Tiên đã là một mối đe dọa toàn cầu, nhưng các chiến thuật xâm nhập của họ đã phát triển đáng kể.

Trước đây, những tội phạm này chỉ tìm kiếm việc làm trong các công ty Web3, nhưng gần đây họ đã sử dụng các lời mời làm việc giả để phát tán phần mềm độc hại. Giờ đây, kế hoạch này lại đang mở rộng.

Theo báo cáo từ Kaspersky, một công ty an ninh số, các hacker tiền điện tử Triều Tiên này đang sử dụng các công cụ mới.

BlueNoroff APT, một nhánh phụ của Lazarus Group, tổ chức tội phạm đáng sợ nhất có trụ sở tại CHDCND Triều Tiên, có hai chiến dịch đang hoạt động. Được gọi là GhostCall và GhostHire, cả hai đều chia sẻ cùng một cơ sở hạ tầng quản lý.

Giải thích chiến thuật mới

Trong GhostCall, các hacker tiền điện tử Triều Tiên này sẽ nhắm vào các giám đốc điều hành Web3, giả danh là các nhà đầu tư tiềm năng. GhostHire, mặt khác, thu hút các kỹ sư blockchain với các lời mời làm việc hấp dẫn. Cả hai chiến thuật đã được sử dụng từ tháng trước ít nhất, nhưng mối đe dọa đang gia tăng.

Dù mục tiêu là ai, trò lừa đảo thực sự vẫn giống nhau: họ lừa một người tiềm năng tải xuống phần mềm độc hại, dù đó là một “thử thách mã hóa” giả mạo hay một bản sao của Zoom hoặc Microsoft Teams.

Dù bằng cách nào, nạn nhân chỉ cần tương tác với nền tảng bị gài bẫy này, tại thời điểm đó, các hacker tiền điện tử Triều Tiên có thể xâm nhập vào hệ thống của họ.

Kaspersky đã ghi nhận một loạt các cải tiến nhỏ, như tập trung vào các hệ điều hành ưa thích của các nhà phát triển tiền điện tử. Các trò lừa đảo có một điểm chung là thất bại: nạn nhân phải thực sự tương tác với phần mềm đáng ngờ.

Điều này đã làm giảm tỷ lệ thành công của các trò lừa đảo trước đây, nhưng các hacker Triều Tiên này đã tìm ra cách mới để tái chế các cơ hội đã mất.

Biến thất bại thành vũ khí mới

Cụ thể, sự phối hợp nâng cao giữa GhostCall và GhostHire đã cho phép các hacker cải thiện kỹ năng lừa đảo xã hội của họ. Ngoài nội dung được tạo ra bởi AI, họ cũng có thể sử dụng các tài khoản bị hack từ các doanh nhân thực sự hoặc các đoạn video cuộc gọi thực để làm cho trò lừa đảo của họ trở nên đáng tin cậy.

Chỉ có thể tưởng tượng được mức độ nguy hiểm của điều này. Một giám đốc điều hành tiền điện tử có thể cắt đứt liên lạc với một nhà tuyển dụng hoặc nhà đầu tư đáng ngờ, chỉ để sau đó hình ảnh của họ bị lợi dụng chống lại các nạn nhân mới.

Sử dụng AI, các hacker có thể tổng hợp các “cuộc trò chuyện” mới mô phỏng giọng điệu, cử chỉ và môi trường xung quanh của một người với độ chân thực đáng báo động.

Ngay cả khi các trò lừa đảo này thất bại, thiệt hại tiềm tàng vẫn rất nghiêm trọng. Bất kỳ ai bị tiếp cận trong hoàn cảnh bất thường hoặc áp lực cao nên cảnh giác — không bao giờ tải xuống phần mềm không quen thuộc hoặc tham gia vào các yêu cầu có vẻ không phù hợp.