Tin tặc Triều Tiên thiết lập ba công ty vỏ bọc để lừa đảo các nhà phát triển tiền điện tử

Một nhóm con của tổ chức tin tặc Lazarus đã thiết lập ba công ty giả mạo tại Mỹ để phân phối phần mềm độc hại qua các cuộc phỏng vấn việc làm giả, với FBI đã đóng cửa ít nhất một trong số đó.

Một nhóm con của tổ chức tin tặc Lazarus liên kết với Triều Tiên đã thiết lập ba công ty vỏ bọc, hai trong số đó ở Mỹ, để phân phối phần mềm độc hại cho những người dùng không nghi ngờ.

Ba công ty tư vấn tiền điện tử giả mạo — BlockNovas, Angeloper Agency và SoftGlide — đang được nhóm tin tặc Triều Tiên có tên Contagious Interview sử dụng để phân phối phần mềm độc hại qua các cuộc phỏng vấn việc làm giả, theo báo cáo từ Silent Push Threat Analysts ngày 24 tháng 4.

Nhà phân tích mối đe dọa cấp cao của Silent Push, Zach Edwards, đã tuyên bố trong một tuyên bố ngày 24 tháng 4 rằng hai trong số các công ty vỏ bọc này được đăng ký là các doanh nghiệp hợp pháp tại Hoa Kỳ.

“Những trang web này và một mạng lưới rộng lớn các tài khoản trên các trang web tuyển dụng và tuyển dụng đang được sử dụng để lừa người dùng nộp đơn xin việc,” ông giải thích.

“Trong quá trình nộp đơn xin việc, một thông báo lỗi sẽ hiển thị khi ai đó cố gắng ghi lại video giới thiệu. Giải pháp liên quan đến một hành động đơn giản là nhấp, sao chép và dán, nếu được nhà phát triển không nghi ngờ thực hiện, sẽ dẫn đến nhiễm phần mềm độc hại.”

Ba loại phần mềm độc hại — BeaverTail, InvisibleFerret và Otter Cookie — đang được sử dụng, theo Silent Push.

BeaverTail chủ yếu được thiết kế để đánh cắp thông tin và tải các giai đoạn tiếp theo của phần mềm độc hại. OtterCookie và InvisibleFerret chủ yếu nhắm vào thông tin nhạy cảm, bao gồm cả khóa ví tiền điện tử và dữ liệu bảng tạm.

Các nhà phân tích của Silent Push lưu ý trong báo cáo của họ rằng tin tặc sử dụng các nền tảng như GitHub, danh sách việc làm và các trang web freelancer để tìm kiếm nạn nhân.

AI Được Sử Dụng Để Tạo Ra Nhân Viên Giả

Sự lừa đảo cũng liên quan đến việc tin tặc sử dụng hình ảnh được tạo bởi AI để tạo hồ sơ nhân viên cho ba công ty tiền điện tử mặt tiền và đánh cắp hình ảnh của người thật.

“Có rất nhiều nhân viên giả và hình ảnh bị đánh cắp từ người thật đang được sử dụng trên mạng lưới này. Chúng tôi đã ghi nhận một số hình ảnh giả rõ ràng và hình ảnh bị đánh cắp, nhưng điều quan trọng là phải nhận ra rằng nỗ lực mạo danh trong chiến dịch này là độc đáo,” Edwards tuyên bố.

“Trong một ví dụ, các diễn viên đe dọa đã lấy một bức ảnh thật từ một người thật, và sau đó dường như đã chạy nó qua một công cụ chỉnh sửa hình ảnh AI để tạo ra một phiên bản khác biệt tinh tế của cùng một hình ảnh đó.”

Chiến dịch phần mềm độc hại này đã diễn ra từ năm 2024. Edwards đề cập rằng có những nạn nhân công khai được biết đến.

Silent Push đã xác định hai nhà phát triển bị nhắm mục tiêu bởi chiến dịch; một trong số họ được báo cáo là đã bị xâm phạm ví MetaMask.

FBI đã đóng cửa ít nhất một trong số các công ty này.

“Cục Điều tra Liên bang (FBI) đã thu giữ tên miền Blocknovas, nhưng Softglide vẫn hoạt động, cùng với một số cơ sở hạ tầng khác của họ,” Edwards nói.

Ít nhất ba người sáng lập tiền điện tử đã báo cáo vào tháng 3 rằng họ đã ngăn chặn một nỗ lực của những kẻ được cho là tin tặc Triều Tiên để đánh cắp dữ liệu nhạy cảm thông qua các cuộc gọi Zoom giả.

Các nhóm như Lazarus Group là nghi phạm chính trong một số vụ trộm mạng lớn nhất trong Web3, bao gồm vụ hack Bybit trị giá 1,4 tỷ đô la và vụ hack mạng Ronin trị giá 600 triệu đô la.

Theo Cointelegraph

Tin khác