Cuộc Tấn Công của Tin Tặc Bắc Triều Tiên
Các tin tặc liên kết với Bắc Triều Tiên đang tiếp tục sử dụng cuộc gọi video trực tiếp, bao gồm cả deepfake do trí tuệ nhân tạo (AI) tạo ra, để lừa đảo các nhà phát triển và nhân viên trong lĩnh vực tiền điện tử cài đặt phần mềm độc hại trên thiết bị của họ.
Chiến Dịch Lừa Đảo
Trong một trường hợp gần đây được Martin Kuchař, đồng sáng lập viên BTC Prague, tiết lộ, những kẻ tấn công đã sử dụng một tài khoản Telegram bị xâm phạm và một cuộc gọi video được dàn dựng để phát tán phần mềm độc hại ngụy trang dưới dạng bản sửa lỗi âm thanh cho Zoom. Kuchař cho biết, chiến dịch hack “cấp cao” này dường như đang “nhắm vào người dùng Bitcoin và tiền điện tử.”
“Những kẻ tấn công liên hệ với nạn nhân và thiết lập một cuộc gọi trên Zoom hoặc Teams. Trong cuộc gọi, họ sử dụng video do AI tạo ra để xuất hiện như một người mà nạn nhân quen biết.”
Sau đó, họ tuyên bố có vấn đề về âm thanh và yêu cầu nạn nhân cài đặt một plugin hoặc tệp để khắc phục. Khi được cài đặt, phần mềm độc hại sẽ cấp quyền truy cập đầy đủ vào hệ thống cho những kẻ tấn công, cho phép họ đánh cắp Bitcoin, chiếm đoạt tài khoản Telegram và sử dụng những tài khoản này để nhắm mục tiêu đến người khác.
Tổn Thất Liên Quan Đến Tiền Điện Tử
Điều này diễn ra trong bối cảnh các trò lừa đảo giả mạo do AI điều khiển đã đẩy tổn thất liên quan đến tiền điện tử lên mức kỷ lục 17 tỷ USD vào năm 2025, với việc những kẻ tấn công ngày càng sử dụng video deepfake, sao chép giọng nói và danh tính giả để lừa đảo nạn nhân và truy cập vào quỹ, theo dữ liệu từ công ty phân tích blockchain Chainalysis.
Kỹ Thuật Tấn Công
Cuộc tấn công, như được mô tả bởi Kuchař, rất giống với một kỹ thuật lần đầu tiên được tài liệu hóa bởi công ty an ninh mạng Huntress. Công ty này đã báo cáo vào tháng 7 năm ngoái rằng những kẻ tấn công đã lừa một nhân viên tiền điện tử mục tiêu vào một cuộc gọi Zoom được dàn dựng sau khi liên hệ ban đầu trên Telegram, thường sử dụng một liên kết cuộc họp giả mạo được lưu trữ trên một miền Zoom giả mạo.
“Trong cuộc gọi, những kẻ tấn công tuyên bố có vấn đề về âm thanh và hướng dẫn nạn nhân cài đặt những gì có vẻ như là một bản sửa lỗi liên quan đến Zoom, thực chất là một AppleScript độc hại.”
Khi được thực thi, script sẽ vô hiệu hóa lịch sử shell, kiểm tra hoặc cài đặt Rosetta 2 (một lớp dịch) trên các thiết bị Apple Silicon, và liên tục yêu cầu người dùng nhập mật khẩu hệ thống của họ để có được quyền hạn cao hơn. Nghiên cứu cho thấy chuỗi phần mềm độc hại cài đặt nhiều payload, bao gồm backdoor vĩnh viễn, công cụ ghi lại phím và clipboard, và công cụ đánh cắp ví tiền điện tử.
Mối Đe Dọa Từ Nhóm Lazarus
Các nhà nghiên cứu an ninh tại Huntress đã gán sự xâm nhập này với độ tin cậy cao cho một mối đe dọa tiên tiến liên kết với Bắc Triều Tiên được theo dõi là TA444, còn được gọi là BlueNoroff và một số bí danh khác hoạt động dưới cái tên chung Lazarus Group, một nhóm được nhà nước tài trợ tập trung vào việc đánh cắp tiền điện tử ít nhất từ năm 2017.
“Có sự tái sử dụng rõ ràng giữa các chiến dịch. Chúng tôi liên tục thấy việc nhắm mục tiêu vào các ví cụ thể và việc sử dụng các script cài đặt rất tương tự,” David Liberman, đồng sáng tạo của mạng lưới tính toán AI phi tập trung Gonka, nói với Decrypt.
Hình ảnh và video “không còn có thể được coi là bằng chứng đáng tin cậy về tính xác thực,” Liberman nói, đồng thời thêm rằng nội dung kỹ thuật số “nên được ký bằng mật mã bởi người tạo ra nó, và các chữ ký như vậy nên yêu cầu xác thực đa yếu tố.”
Nhóm Lazarus của Bắc Triều Tiên liên quan đến các chiến dịch chống lại các công ty tiền điện tử, nhân viên và nhà phát triển, sử dụng phần mềm độc hại tùy chỉnh và kỹ thuật xã hội tinh vi để đánh cắp tài sản kỹ thuật số và thông tin xác thực.
