Các hacker có liên hệ với Triều Tiên tiếp tục sử dụng các cuộc gọi video trực tiếp, bao gồm cả các video giả mạo do AI tạo ra, để lừa các nhà phát triển và nhân viên ngành tiền điện tử cài đặt phần mềm độc hại vào thiết bị của họ.
Trong trường hợp mới nhất được tiết lộ bởi Martin Kuchař, đồng sáng lập BTC Prague, những kẻ tấn công đã sử dụng một tài khoản Telegram bị xâm nhập và một cuộc gọi video giả mạo để phát tán phần mềm độc hại được ngụy trang dưới dạng bản vá lỗi âm thanh Zoom, ông cho biết.
Chiến dịch tấn công mạng cấp cao này dường như đang "nhắm mục tiêu vào người dùng Bitcoin và tiền điện tử", Kuchař tiết lộ hôm thứ Năm trên X.
Theo lời Kuchař, kẻ tấn công liên hệ với nạn nhân và thiết lập cuộc gọi Zoom hoặc Teams. Trong cuộc gọi, chúng sử dụng video do AI tạo ra để giả làm người quen của nạn nhân.
Sau đó, chúng tuyên bố có vấn đề về âm thanh và yêu cầu nạn nhân cài đặt một plugin hoặc tập tin để khắc phục. Sau khi cài đặt, phần mềm độc hại sẽ cấp cho kẻ tấn công quyền truy cập toàn hệ thống, cho phép chúng đánh cắp Bitcoin, chiếm đoạt tài khoản Telegram và sử dụng các tài khoản đó để nhắm mục tiêu vào người khác.
Điều này diễn ra trong bối cảnh các vụ lừa đảo mạo danh bằng trí tuệ nhân tạo đã đẩy thiệt hại liên quan đến tiền điện tử lên mức kỷ lục 17 tỷ đô la vào năm 2025, với việc tin tặc ngày càng sử dụng video deepfake, sao chép giọng nói và danh tính giả để lừa đảo nạn nhân và chiếm đoạt tiền, theo dữ liệu từ công ty phân tích blockchain Chainalysis.
Theo mô tả của Kuchař, cuộc tấn công này rất giống với kỹ thuật được công ty an ninh mạng Huntress ghi nhận lần đầu tiên vào tháng 7 năm ngoái. Huntress cho biết những kẻ tấn công này dụ dỗ một người làm việc trong lĩnh vực tiền điện tử tham gia vào một cuộc gọi Zoom dàn dựng sau khi liên lạc ban đầu qua Telegram, thường sử dụng một LINK (Chainlink) cuộc họp giả mạo được lưu trữ trên một tên miền Zoom giả mạo.
Trong cuộc gọi, những kẻ tấn công sẽ nói rằng có vấn đề về âm thanh và hướng dẫn nạn nhân cài đặt một thứ trông giống như bản vá lỗi liên quan đến Zoom, nhưng thực chất đó là một đoạn mã AppleScript độc hại khởi động quá trình lây nhiễm macOS nhiều giai đoạn, theo Huntress.
Sau khi thực thi, Script sẽ vô hiệu hóa lịch sử lệnh, kiểm tra hoặc cài đặt Rosetta 2 (một lớp dịch thuật) trên các thiết bị Apple Silicon, và liên tục yêu cầu người dùng nhập mật khẩu hệ thống để giành quyền quản trị.
Nghiên cứu cho thấy chuỗi mềm độc hại này cài đặt nhiều loại tải trọng khác nhau, bao gồm các cửa hậu tồn đọng, công cụ ghi lại thao tác bàn phím và sao chép dữ liệu, cũng như phần mềm đánh cắp ví tiền điện tử, một chuỗi tương tự như chuỗi mà Kuchař đã chỉ ra khi anh tiết lộ hôm thứ Hai rằng tài khoản Telegram của mình đã bị xâm phạm và sau đó được sử dụng để nhắm mục tiêu vào những người khác theo cùng một cách.
Các nhà nghiên cứu bảo mật tại Huntress đã khẳng định chắc chắn rằng vụ xâm nhập này là do một mối đe dọa dai dẳng tiên tiến (APT) có liên hệ với Triều Tiên gây ra, được theo dõi với mã hiệu TA444, còn được biết đến với tên gọi BlueNoroff và một số bí danh khác, hoạt động dưới tên gọi chung là Nhóm Lazarus, một nhóm do nhà nước tài trợ tập trung vào hoạt động đánh cắp tiền điện tử từ ít nhất năm 2017.
Khi được hỏi về mục tiêu hoạt động của các chiến dịch này và liệu họ có nghĩ rằng có mối tương quan nào đó hay không, Shān Zhang, giám đốc an ninh thông tin tại công ty bảo mật blockchain Slowmist, nói với Decrypt rằng cuộc tấn công mới nhất vào Kuchař “có thể” liên quan đến các chiến dịch rộng lớn hơn từ Nhóm Lazarus.
“Rõ ràng là có sự tái sử dụng trong các chiến dịch. Chúng tôi liên tục thấy việc nhắm mục tiêu vào các ví cụ thể và sử dụng các kịch bản cài đặt rất giống nhau,” David Liberman, đồng sáng lập mạng lưới điện toán AI phi tập trung Gonka, nói với Decrypt .
Ông Liberman cho biết, hình ảnh và video “không còn có thể được coi là bằng chứng xác thực đáng tin cậy”, đồng thời nói thêm rằng nội dung kỹ thuật số “cần được người tạo ra ký mã hóa và các chữ ký đó cần yêu cầu xác thực đa yếu tố”.
Ông cho biết, trong những bối cảnh như thế này, các câu chuyện kể đã trở thành "một tín hiệu quan trọng để theo dõi và phát hiện" vì các cuộc tấn công này "dựa trên các mô hình xã hội quen thuộc".
Nhóm Lazarus của Triều Tiên có liên hệ với các chiến dịch chống lại các công ty , người lao động và nhà phát triển tiền điện tử , sử dụng phần mềm độc hại được thiết kế riêng và kỹ thuật thao túng tâm lý tinh vi để đánh cắp tài sản kỹ thuật số và thông tin đăng nhập.
