Tội phạm mạng Bắc Triều Tiên đã thực hiện một bước chuyển chiến lược trong các chiến dịch kỹ thuật xã hội của họ. Họ đã đánh cắp hơn 300 triệu đô la bằng cách mạo danh các nhân vật uy tín trong ngành trong các cuộc họp video giả mạo.
Cảnh báo này, được mô tả chi tiết bởi nhà nghiên cứu bảo mật MetaMask Taylor Monahan (còn được gọi là Tayvano), phác thảo một "lừa đảo dài hạn" tinh vi nhắm vào các giám đốc điều hành tiền mã hóa.
Tài trợ
Tài trợ
Cách Bắc Triều Tiên Sử Dụng Các Cuộc Họp Giả Mạo Để Rút Cạn Ví Tiền Mã Hóa
Theo Monahan, chiến dịch này khác với các cuộc tấn công gần đây dựa vào deepfake AI.
Thay vào đó, nó sử dụng một phương pháp trực tiếp hơn dựa trên các tài khoản Telegram bị chiếm đoạt và đoạn phim lặp lại từ các cuộc phỏng vấn thực tế.
Cuộc tấn công thường bắt đầu sau khi tin tặc kiểm soát một tài khoản Telegram đáng tin cậy, thường thuộc về một công ty đầu tư mạo hiểm hoặc ai đó mà nạn nhân đã gặp trước đó tại một hội nghị.
Sau đó, những kẻ tấn công độc hại khai thác lịch sử trò chuyện trước đó để xuất hiện hợp pháp, hướng dẫn nạn nhân đến cuộc gọi video Zoom hoặc Microsoft Teams thông qua một liên kết Calendly được ngụy trang.
Khi cuộc họp bắt đầu, nạn nhân thấy những gì có vẻ như là một nguồn cấp video trực tiếp của người liên hệ của họ. Trong thực tế, nó thường là một bản ghi lại được tái sử dụng từ một podcast hoặc buổi xuất hiện công khai.
Tài trợ
Tài trợ
Thời điểm quyết định thường theo sau một vấn đề kỹ thuật được tạo ra.
Sau khi trích dẫn các vấn đề về âm thanh hoặc video, kẻ tấn công thúc giục nạn nhân khôi phục kết nối bằng cách tải xuống một tập lệnh cụ thể hoặc cập nhật bộ phát triển phần mềm, hoặc SDK. Tệp được gửi tại thời điểm đó chứa tải trọng độc hại.
Khi được cài đặt, phần mềm độc hại—thường là một Trojan Truy cập Từ xa (RAT)—cấp cho kẻ tấn công quyền kiểm soát hoàn toàn.
Nó rút cạn ví tiền mã hóa và trích xuất dữ liệu nhạy cảm, bao gồm các giao thức bảo mật nội bộ và token phiên Telegram, sau đó được sử dụng để nhắm mục tiêu nạn nhân tiếp theo trong mạng lưới.
Xem xét điều này, Monahan cảnh báo rằng vector cụ thể này vũ khí hóa sự lịch sự chuyên nghiệp.
Các tin tặc dựa vào áp lực tâm lý của một "cuộc họp kinh doanh" để buộc một sự sai sót trong phán đoán, biến một yêu cầu khắc phục sự cố thông thường thành một vi phạm bảo mật nghiêm trọng.
Đối với những người tham gia trong ngành, bất kỳ yêu cầu tải xuống phần mềm nào trong cuộc gọi hiện được coi là một tín hiệu tấn công tích cực.
Trong khi đó, chiến lược "cuộc họp giả mạo" này là một phần của một cuộc tấn công rộng lớn hơn của các tác nhân Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK). Họ đã đánh cắp ước tính 2 tỷ đô la từ lĩnh vực này trong năm qua, bao gồm cả vụ vi phạm Bybit.
Nguồn: https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
