Các tội phạm mạng Triều Tiên đã thay đổi chiến lược trong các chiến dịch lừa đảo để đánh cắp hơn 300 triệu USD bằng cách giả mạo các chuyên gia uy tín trong ngành khi tổ chức các cuộc họp video giả.
Cảnh báo này, được chia sẻ bởi chuyên gia bảo mật MetaMask là Taylor Monahan (còn gọi là Tayvano), mô tả chiêu lừa đảo tinh vi nhắm vào các lãnh đạo trong lĩnh vực tiền điện tử.
SponsoredCách các cuộc họp giả mạo của Triều Tiên đang làm hao hụt ví crypto
Theo Monahan, chiến dịch này đã đi theo hướng khác so với các vụ tấn công trước đây sử dụng deepfake AI.
Thay vào đó, nhóm lừa đảo sử dụng cách tiếp cận đơn giản hơn, dựa trên việc chiếm quyền kiểm soát các tài khoản Telegram và chiếu lại các đoạn video phỏng vấn thật.
Thông thường, cuộc tấn công bắt đầu khi hacker kiểm soát được tài khoản Telegram uy tín, thường là của nhà đầu tư mạo hiểm hoặc ai đó mà nạn nhân từng gặp ở hội thảo.
Sau đó, những kẻ lừa đảo sẽ dựa vào lịch sử trò chuyện cũ để tạo sự tin tưởng, tiếp tục hướng nạn nhân đến một cuộc họp video qua Zoom hoặc Microsoft Teams thông qua một đường dẫn Calendly được ngụy trang.
Khi cuộc họp bắt đầu, nạn nhân sẽ thấy như đang trò chuyện trực tiếp với người quen. Thực chất, đó chỉ là video ghi lại từ một podcast hoặc sự kiện công khai trước đó.
SponsoredKhoảnh khắc quyết định thường xảy ra sau khi hacker giả vờ có sự cố kỹ thuật.
Kẻ tấn công nói rằng có vấn đề về âm thanh hoặc hình ảnh, rồi yêu cầu nạn nhân tải về một đoạn mã hoặc cập nhật bộ phát triển phần mềm (SDK). File này chính là mã độc nguy hiểm.
Khi đã được cài đặt vào máy tính, phần mềm độc hại – thường là Remote Access Trojan (RAT) – sẽ cho phép hacker kiểm soát hoàn toàn thiết bị của nạn nhân.
Hacker sẽ chiếm đoạt ví tiền điện tử, đồng thời đánh cắp các dữ liệu nhạy cảm như quy trình bảo mật nội bộ và mã đăng nhập phiên Telegram. Những thông tin này tiếp tục được dùng để lừa các nạn nhân khác trong mạng lưới.
Với tình hình này, Monahan cảnh báo rằng chiêu trò này lợi dụng sự tin tưởng trong làm việc chuyên nghiệp.
Hacker khai thác áp lực tâm lý của các buổi họp kinh doanh để khiến nạn nhân mất cảnh giác, biến một đề xuất hỗ trợ kỹ thuật đơn giản thành lỗ hổng bảo mật nghiêm trọng.
Với những người làm việc trong ngành, bất kỳ yêu cầu tải phần mềm nào trong lúc họp trực tuyến đều nên coi là dấu hiệu cảnh báo bị tấn công.
Chiến dịch “họp giả” này là một phần trong chiến lược tấn công rộng hơn của các đối tượng thuộc Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK). Trong năm qua, họ đã đánh cắp tổng cộng khoảng 2 tỷ USD từ ngành tiền điện tử, bao gồm cả vụ tấn công Bybit.
