Các chuyên gia tiền điện tử ở Ấn Độ bị tin tặc Triều Tiên nhắm mục tiêu bằng cách sử dụng các cuộc phỏng vấn xin việc giả mạo và phần mềm độc hại

Tin tặc Triều Tiên nhắm mục tiêu vào những người tìm việc làm tiền điện tử Ấn Độ bằng phần mềm độc hại

Một nhóm tin tặc ít được biết đến của Triều Tiên, Famous Chollima, đã tích cực nhắm mục tiêu vào những người xin việc trong lĩnh vực tiền điện tử và blockchain của Ấn Độ.

Không giống như nhóm Lazarus khét tiếng, nhóm này sử dụng các chiến thuật lừa đảo thô sơ nhưng hiệu quả để lừa người dùng cài đặt phần mềm độc hại vào máy tính của họ.

Chiến dịch này diễn ra từ giữa năm 2024, tập trung vào các quảng cáo việc làm giả mạo và các bài kiểm tra kỹ năng gian lận được thiết kế để lây nhiễm phần mềm độc hại có tên PylangGhost cho nạn nhân.

Làm thế nào các lời mời làm việc giả mạo dẫn đến nhiễm phần mềm độc hại

Famous Chollima hoạt động bằng cách tạo ra các trang web tuyển dụng giả mạo các công ty tiền điện tử nổi tiếng như Coinbase, Uniswap và Robinhood.

Các danh sách việc làm giả mạo này thu hút các chuyên gia có kinh nghiệm về công nghệ blockchain và tiền điện tử nộp đơn.

Sau khi điền thông tin chi tiết và tham gia phỏng vấn video, ứng viên được yêu cầu sao chép và dán lệnh với mục đích cài đặt trình điều khiển video.

Các câu hỏi do tin tặc phát tán là về vị trí Quản lý Phát triển Kinh doanh bất hợp pháp, được trình bày sai sự thật là một cơ hội tại Robinhood. (Nguồn:Cisco Talos )

Thay vào đó, các lệnh này tải xuống phần mềm độc hại cho phép tin tặc truy cập toàn bộ vào thiết bị của nạn nhân.

Phần mềm độc hại này nhắm vào thông tin nhạy cảm bao gồm thông tin đăng nhập, dữ liệu trình duyệt và tiện ích mở rộng ví tiền điện tử như MetaMask và Phantom.

Đối với người dùng Windows, trang web cung cấp hướng dẫn sao chép, dán và thực thi lệnh độc hại được ngụy trang dưới dạng cài đặt trình điều khiển video, cùng với một bộ hướng dẫn riêng cũng được cung cấp cho macOS. (Nguồn:Cisco Talos )

Các nhà nghiên cứu của Cisco Talos đã nhấn mạnh việc sử dụng phương pháp có tên “ClickFix”, khai thác bản năng giải quyết vấn đề của con người bằng cách nhắc nhở người dùng sửa các thông báo lỗi giả mạo, cuối cùng là thực thi mã độc hại.

Famous Chollima khác với Lazarus Group như thế nào?

Mặc dù cả hai nhóm đều có nguồn gốc từ Bắc Triều Tiên và hoạt động trong lĩnh vực tiền điện tử, nhưng cách tiếp cận của Famous Chollima kém tinh vi hơn đáng kể.

Cisco Talos lưu ý rằng các quảng cáo việc làm giả mạo thiếu thương hiệu xác thực và thường bao gồm các câu hỏi không liên quan, gây nghi ngờ.

Ví dụ về quảng cáo việc làm giả mạo. (Nguồn:Cisco Talos )

Ngược lại, Lazarus Group được biết đến với các cuộc tấn công mạng tiên tiến và có sự phối hợp chặt chẽ, bao gồm cả các vụ trộm tiền điện tử trên quy mô lớn.

BitMEX gần đây đã tiết lộ rằng Lazarus sử dụng hệ thống nhóm hai cấp: một nhóm có trình độ thấp hơn để phá vỡ bảo mật ban đầu và một nhóm có trình độ cao hơn để thực hiện hành vi trộm cắp.

Có thể các hoạt động mạng của Triều Tiên tuân theo một cấu trúc tương tự giữa các nhóm khác nhau, nhưng các chiến thuật đơn giản hơn của Famous Chollima cho thấy đây là những nỗ lực ở giai đoạn đầu hoặc mang tính cơ hội.

Liệu những cuộc tấn công này có phải là màn dạo đầu cho các chương trình tiền điện tử lớn hơn của Triều Tiên không?

Mục đích thực sự đằng sau chiến dịch của Famous Chollima vẫn còn chưa rõ ràng.

Mặc dù các cuộc tấn công này có thể là hành vi trộm cắp quy mô nhỏ, nhưng các chuyên gia cảnh báo rằng chúng cũng có thể đóng vai trò do thám để bắt chước những người tìm việc hợp pháp hoặc tiếp cận liên tục các công ty tiền điện tử.

Các sự cố trong quá khứ càng củng cố thêm mối lo ngại này — vào cuối năm 2024, Radiant Capital đã phải chịu khoản lỗ 50 triệu đô la sau khi tin tặc Triều Tiên lây nhiễm phần mềm độc hại vào thiết bị của nhân viên thông qua báo cáo của nhà thầu.

Tin tặc Triều Tiên từ lâu đã nhắm vào các chuyên gia tiền điện tử, đặc biệt là những người sử dụng thiết bị Apple vốn phổ biến trong ngành.

Chính phủ được cho là hưởng lợi về mặt tài chính từ những công dân làm việc ở nước ngoài và thông qua các vụ trộm tiền điện tử thông qua những vụ xâm nhập như vậy.

Người tìm việc liên quan đến tiền điện tử nên làm gì để bảo vệ bản thân?

Chiến dịch đang diễn ra này nhấn mạnh những rủi ro mà người tìm việc phải đối mặt trong ngành công nghiệp tiền điện tử đang phát triển nhanh chóng.

Các chuyên gia khuyên bạn nên xem xét kỹ lưỡng các cổng thông tin tuyển dụng, tránh chạy các dòng lệnh lạ và sử dụng các biện pháp bảo mật mạnh mẽ như xác thực đa yếu tố và bảo vệ điểm cuối.

Việc theo dõi các tiện ích mở rộng của trình duyệt là rất quan trọng vì phần mềm độc hại như PylangGhost chủ động nhắm vào ví tiền điện tử và trình quản lý thông tin xác thực.

Đây có phải là sự khởi đầu của kỷ nguyên đe dọa mạng mới?

Sự trỗi dậy của các nhóm như Famous Chollima báo hiệu rằng các hoạt động mạng của Triều Tiên đang đa dạng hóa vượt ra ngoài các cuộc tấn công cấp cao của Nhóm Lazarus.

Mặc dù phương pháp của họ có vẻ thô sơ, nhưng việc họ tập trung vào các chuyên gia tiền điện tử có thể mở đường cho các chiến thuật xâm nhập tinh vi hơn trong tương lai.

Khi những người tìm việc vô tình cung cấp đường vào cho các công ty blockchain, ranh giới giữa tuyển dụng và gián điệp trở nên vô cùng mờ nhạt.

Mối đe dọa đang ngày càng gia tăng đòi hỏi sự cảnh giác không chỉ từ cá nhân mà còn từ toàn ngành, vì kẻ tấn công có thể thăm dò các lỗ hổng mới thông qua chính lực lượng lao động có nhiệm vụ xây dựng chúng.