Tội phạm mạng Triều Tiên đã thực hiện một bước ngoặt chiến lược trong các chiến dịch tấn công phi kỹ thuật của chúng. Chúng đã đánh cắp hơn 300 triệu đô la bằng cách giả mạo các nhân vật đáng tin cậy trong ngành trong các cuộc họp video giả mạo.
Cảnh báo này, được nhà nghiên cứu bảo mật Taylor Monahan (hay còn gọi là Tayvano) của MetaMask nêu chi tiết, vạch trần một "chiêu trò lừa đảo dài hạn" tinh vi nhắm vào các giám đốc điều hành trong lĩnh vực tiền điện tử.
Các cuộc gặp giả mạo của Triều Tiên đang làm cạn kiệt ví tiền điện tử như thế nào?
Theo Monahan, chiến dịch này khác với các cuộc tấn công gần đây dựa vào công nghệ deepfake do AI tạo ra.
Thay vào đó, nó sử dụng một phương pháp đơn giản hơn, được xây dựng dựa trên các tài khoản Telegram bị chiếm đoạt và các đoạn phim lặp lại từ các cuộc phỏng vấn thực tế.
Cuộc tấn công thường bắt đầu sau khi tin tặc chiếm quyền kiểm soát một tài khoản Telegram đáng tin cậy, thường thuộc về một nhà đầu tư mạo hiểm hoặc người mà nạn nhân đã gặp trước đó tại một hội nghị.
Sau đó, những kẻ tấn công độc hại lợi dụng lịch sử trò chuyện trước đó để tạo vẻ ngoài hợp pháp, hướng nạn nhân tham gia cuộc gọi video Zoom hoặc Microsoft Teams thông qua một LINK (Chainlink) Calendly được ngụy trang.
Khi cuộc gặp bắt đầu, nạn nhân sẽ thấy những gì dường như là video trực tiếp của người liên hệ. Trên thực tế, đó thường là bản ghi âm được tái sử dụng từ một podcast hoặc một buổi xuất hiện trước công chúng.
Thời điểm quyết định thường xuất hiện sau một sự cố kỹ thuật được tạo ra.
Sau khi viện dẫn các sự cố về âm thanh hoặc video, kẻ tấn công yêu cầu nạn nhân khôi phục kết nối bằng cách tải xuống một Script cụ thể hoặc cập nhật bộ công cụ phát triển phần mềm (SDK). Tệp được cung cấp tại thời điểm đó chứa mã độc hại.
Sau khi được cài đặt, phần mềm độc hại—thường là Trojan truy cập từ xa (RAT)—cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống.
Nó rút hết tiền trong ví tiền điện tử và đánh cắp dữ liệu nhạy cảm, bao gồm cả các giao thức bảo mật nội bộ và mã thông báo phiên Telegram, sau đó được sử dụng để nhắm mục tiêu vào nạn nhân tiếp theo trong mạng lưới.
Xét đến điều này, Monahan cảnh báo rằng phương thức này đang biến sự lịch sự trong nghề nghiệp thành một thứ vũ khí .
Các hacker dựa vào áp lực tâm lý của một "cuộc họp kinh doanh" để buộc nạn nhân mắc sai lầm trong phán đoán, biến một yêu cầu khắc phục sự cố thông thường thành một vụ vi phạm an ninh nghiêm trọng.
Đối với những người tham gia ngành, bất kỳ yêu cầu tải xuống phần mềm nào trong khi đang gọi điện đều được coi là tín hiệu tấn công chủ động.
Trong khi đó, chiến lược "cuộc họp giả" này là một phần của cuộc tấn công rộng lớn hơn do các tác nhân từ Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) thực hiện. Chúng đã đánh cắp ước tính 2 tỷ đô la từ lĩnh vực này trong năm qua, bao gồm cả vụ xâm nhập Bybit .
