Một nhóm tin tặc ít được biết đến của Triều Tiên, Famous Chollima, đã tích cực nhắm mục tiêu vào những người xin việc trong lĩnh vực tiền điện tử và blockchain của Ấn Độ.
Không giống như nhóm Lazarus khét tiếng, nhóm này sử dụng các chiến thuật lừa đảo thô sơ nhưng hiệu quả để lừa người dùng cài đặt phần mềm độc hại vào máy tính của họ.
Chiến dịch này diễn ra từ giữa năm 2024, tập trung vào các quảng cáo việc làm giả mạo và các bài kiểm tra kỹ năng gian lận được thiết kế để lây nhiễm phần mềm độc hại có tên PylangGhost cho nạn nhân.
Famous Chollima hoạt động bằng cách tạo ra các trang web tuyển dụng giả mạo các công ty tiền điện tử nổi tiếng như Coinbase, Uniswap và Robinhood.
Các danh sách việc làm giả mạo này thu hút các chuyên gia có kinh nghiệm về công nghệ blockchain và tiền điện tử nộp đơn.
Sau khi điền thông tin chi tiết và tham gia phỏng vấn video, ứng viên được yêu cầu sao chép và dán lệnh với mục đích cài đặt trình điều khiển video.
Các câu hỏi do tin tặc phát tán là về vị trí Quản lý Phát triển Kinh doanh bất hợp pháp, được trình bày sai sự thật là một cơ hội tại Robinhood. (Nguồn:Cisco Talos )
Thay vào đó, các lệnh này tải xuống phần mềm độc hại cho phép tin tặc truy cập toàn bộ vào thiết bị của nạn nhân.
Phần mềm độc hại này nhắm vào thông tin nhạy cảm bao gồm thông tin đăng nhập, dữ liệu trình duyệt và tiện ích mở rộng ví tiền điện tử như MetaMask và Phantom.
Đối với người dùng Windows, trang web cung cấp hướng dẫn sao chép, dán và thực thi lệnh độc hại được ngụy trang dưới dạng cài đặt trình điều khiển video, cùng với một bộ hướng dẫn riêng cũng được cung cấp cho macOS. (Nguồn:Cisco Talos )
Các nhà nghiên cứu của Cisco Talos đã nhấn mạnh việc sử dụng phương pháp có tên “ClickFix”, khai thác bản năng giải quyết vấn đề của con người bằng cách nhắc nhở người dùng sửa các thông báo lỗi giả mạo, cuối cùng là thực thi mã độc hại.
Mặc dù cả hai nhóm đều có nguồn gốc từ Bắc Triều Tiên và hoạt động trong lĩnh vực tiền điện tử, nhưng cách tiếp cận của Famous Chollima kém tinh vi hơn đáng kể.
Cisco Talos lưu ý rằng các quảng cáo việc làm giả mạo thiếu thương hiệu xác thực và thường bao gồm các câu hỏi không liên quan, gây nghi ngờ.
Ví dụ về quảng cáo việc làm giả mạo. (Nguồn:Cisco Talos )
Ngược lại, Lazarus Group được biết đến với các cuộc tấn công mạng tiên tiến và có sự phối hợp chặt chẽ, bao gồm cả các vụ trộm tiền điện tử trên quy mô lớn.
BitMEX gần đây đã tiết lộ rằng Lazarus sử dụng hệ thống nhóm hai cấp: một nhóm có trình độ thấp hơn để phá vỡ bảo mật ban đầu và một nhóm có trình độ cao hơn để thực hiện hành vi trộm cắp.
Có thể các hoạt động mạng của Triều Tiên tuân theo một cấu trúc tương tự giữa các nhóm khác nhau, nhưng các chiến thuật đơn giản hơn của Famous Chollima cho thấy đây là những nỗ lực ở giai đoạn đầu hoặc mang tính cơ hội.
Mục đích thực sự đằng sau chiến dịch của Famous Chollima vẫn còn chưa rõ ràng.
Mặc dù các cuộc tấn công này có thể là hành vi trộm cắp quy mô nhỏ, nhưng các chuyên gia cảnh báo rằng chúng cũng có thể đóng vai trò do thám để bắt chước những người tìm việc hợp pháp hoặc tiếp cận liên tục các công ty tiền điện tử.
Các sự cố trong quá khứ càng củng cố thêm mối lo ngại này — vào cuối năm 2024, Radiant Capital đã phải chịu khoản lỗ 50 triệu đô la sau khi tin tặc Triều Tiên lây nhiễm phần mềm độc hại vào thiết bị của nhân viên thông qua báo cáo của nhà thầu.
Tin tặc Triều Tiên từ lâu đã nhắm vào các chuyên gia tiền điện tử, đặc biệt là những người sử dụng thiết bị Apple vốn phổ biến trong ngành.
Chính phủ được cho là hưởng lợi về mặt tài chính từ những công dân làm việc ở nước ngoài và thông qua các vụ trộm tiền điện tử thông qua những vụ xâm nhập như vậy.
Chiến dịch đang diễn ra này nhấn mạnh những rủi ro mà người tìm việc phải đối mặt trong ngành công nghiệp tiền điện tử đang phát triển nhanh chóng.
Các chuyên gia khuyên bạn nên xem xét kỹ lưỡng các cổng thông tin tuyển dụng, tránh chạy các dòng lệnh lạ và sử dụng các biện pháp bảo mật mạnh mẽ như xác thực đa yếu tố và bảo vệ điểm cuối.
Việc theo dõi các tiện ích mở rộng của trình duyệt là rất quan trọng vì phần mềm độc hại như PylangGhost chủ động nhắm vào ví tiền điện tử và trình quản lý thông tin xác thực.
Sự trỗi dậy của các nhóm như Famous Chollima báo hiệu rằng các hoạt động mạng của Triều Tiên đang đa dạng hóa vượt ra ngoài các cuộc tấn công cấp cao của Nhóm Lazarus.
Mặc dù phương pháp của họ có vẻ thô sơ, nhưng việc họ tập trung vào các chuyên gia tiền điện tử có thể mở đường cho các chiến thuật xâm nhập tinh vi hơn trong tương lai.
Khi những người tìm việc vô tình cung cấp đường vào cho các công ty blockchain, ranh giới giữa tuyển dụng và gián điệp trở nên vô cùng mờ nhạt.
Mối đe dọa đang ngày càng gia tăng đòi hỏi sự cảnh giác không chỉ từ cá nhân mà còn từ toàn ngành, vì kẻ tấn công có thể thăm dò các lỗ hổng mới thông qua chính lực lượng lao động có nhiệm vụ xây dựng chúng.
Trong bối cảnh giá Shiba Inu giảm, một con cá voi tích lũy được 1,44 nghìn tỷ USD SHIB, trị giá 13,36 triệu USD, trong vòng hai ngày. Điều này trùng hợp với việc tăng cường đốt token và hợp tác chiến lược. Bất chấp những thách thức, một số nhà phân tích vẫn lạc quan về tương lai của SHIB.
EdmundCisco giới thiệu Trợ lý bảo mật AI, cách mạng hóa an ninh mạng với các giải pháp do AI điều khiển và các tính năng cải tiến như cấu hình chính sách đơn giản hóa và phân tích lưu lượng được mã hóa. Với sự nhấn mạnh vào việc tận dụng dữ liệu mở rộng, tiến bộ này đánh dấu một cột mốc quan trọng trong việc củng cố cảnh quan phòng thủ mạng.
JoyThẩm phán phá sản Hoa Kỳ chịu trách nhiệm về vụ kiện Mạng Celsius đã ra lệnh cho người cho vay tiền điện tử bị phá sản trả lại số tiền điện tử trị giá khoảng 44 triệu đô la.
decryptChánh án Phá sản Martin Glenn đã ra phán quyết rằng công ty cho vay tiền điện tử bị phá sản Celsius phải trả lại hàng triệu tiền cho người dùng của mình.
OthersChủ sở hữu tiếp theo của The Broncos có thể là một DAO khiêm tốn được tổ chức bởi một nhóm các chuyên gia, những người cuối cùng có thể trả mức phí cao nhất từ trước đến nay cho một đội thể thao Bắc Mỹ.
Cointelegraph