Nhóm Tin Tặc Liên Quan Đến Bắc Triều Tiên Tấn Công Lĩnh Vực Tiền Điện Tử
Một nhóm tin tặc liên quan đến Bắc Triều Tiên đã tấn công những ứng viên trong lĩnh vực tiền điện tử bằng phần mềm độc hại mới, nhằm đánh cắp mật khẩu từ ví tiền điện tử và các trình quản lý mật khẩu. Theo báo cáo của Cisco Talos vào thứ Tư, họ đã phát hiện một trojan truy cập từ xa (RAT) dựa trên Python mang tên PylangGhost.
Chiến Thuật Tấn Công
Những phần mềm độc hại này được liên kết với nhóm hacker có tên Famous Chollima, hay còn được biết đến với cái tên Wagemole. Nhóm hacker này đã nhắm đến những người tìm việc và nhân viên có kinh nghiệm trong lĩnh vực cryptocurrency và blockchain, chủ yếu ở Ấn Độ, thông qua các cuộc tấn công dựa trên các chiến dịch phỏng vấn việc làm giả mạo sử dụng kỹ thuật xã hội.
“Dựa trên các vị trí đã được quảng cáo, rõ ràng rằng Famous Chollima đang nhắm đến một cách rộng rãi những cá nhân có kinh nghiệm trước đó trong các công nghệ cryptocurrency và blockchain,” báo cáo cho biết.
Các trang web việc làm giả và các bài kiểm tra là lớp ngụy trang cho phần mềm độc hại. Những kẻ tấn công đã tạo ra các trang web mô phỏng các công ty hợp pháp như Coinbase, Robinhood và Uniswap, trong khi nạn nhân bị hướng dẫn tham gia vào một quy trình nhiều bước. Điều này bao gồm việc tiếp xúc từ những người tuyển dụng giả mạo, những người gửi lời mời đến các trang web kiểm tra kỹ năng, nơi diễn ra việc thu thập thông tin.
Cách Thức Hoạt Động Của Phần Mềm Độc Hại
Sau đó, nạn nhân bị dụ vào việc cho phép truy cập video và camera cho các cuộc phỏng vấn giả mạo, trong đó họ bị lừa để sao chép và thực thi các lệnh độc hại dưới vỏ bọc là cài đặt trình điều khiển video cập nhật, dẫn đến việc xâm phạm thiết bị của họ.
PylangGhost là một biến thể của RAT GolangGhost đã được ghi nhận trước đó và chia sẻ nhiều chức năng tương tự, theo Cisco Talos. Khi thực thi, phần mềm độc hại này sẽ cho phép kiểm soát từ xa hệ thống bị nhiễm, đồng thời đánh cắp cookie và thông tin xác thực từ hơn 80 tiện ích mở rộng trình duyệt, bao gồm các trình quản lý mật khẩu và ví tiền điện tử như MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink, và MultiverseX.
Phần mềm độc hại này cũng có khả năng thực hiện nhiều tác vụ khác, bao gồm chụp ảnh màn hình, quản lý tập tin, đánh cắp dữ liệu trình duyệt, thu thập thông tin hệ thống và duy trì quyền truy cập từ xa vào các hệ thống bị nhiễm. Các nhà nghiên cứu cũng lưu ý rằng có khả năng các tác nhân đe dọa đã sử dụng một mô hình ngôn ngữ lớn trí tuệ nhân tạo để giúp viết mã, dựa trên những bình luận trong mã nguồn.
Kết Luận
Việc gian lận qua các quảng cáo việc làm giả không còn là điều mới mẻ. Đây không phải là lần đầu tiên các hacker liên quan đến Bắc Triều Tiên sử dụng các hình thức lừa đảo việc làm và phỏng vấn để lừa nạn nhân. Vào tháng Tư, các hacker liên quan đến vụ cướp Bybit trị giá 1.4 tỷ đô la đã nhắm tới các nhà phát triển trong lĩnh vực tiền điện tử bằng các bài kiểm tra tuyển dụng giả mạo có chứa phần mềm độc hại.
