Các trò lừa đảo Deepfake Zoom nhắm vào các nhà trong ngành tiền điện tử khi Đồng sáng lập BTC Prague cảnh báo về phần mềm độc hại Mac

Những điểm chính:

• Các chuyên gia trong lĩnh vực tiền điện tử đang bị nhắm mục tiêu bởi các cuộc gọi video deepfake phát tán phần mềm độc hại macOS
• Đồng sáng lập BTC Prague, Martin Kuchař cho biết tài khoản Telegram bị đánh cắp của anh đã được sử dụng để phát tán cuộc tấn công
• Chiến dịch phù hợp với các chiến thuật liên quan đến hacker BlueNoroff liên kết với Triều Tiên

Một làn sóng lừa đảo tiền điện tử với mức độ nhắm mục tiêu cao đang lợi dụng video deepfake, các liên hệ quan hệ và các công cụ làm việc phổ biến. Đồng sáng lập BTC Prague, Martin Kuchař tiết lộ rằng các kẻ tấn công đã kiểm soát tài khoản Telegram của anh để dụ dỗ người khác tham gia cuộc gọi video Zoom và Teams kèm malware.

Đọc thêm: $50M biến mất trong vài giây: Lỗi sao chép-dán ví tiền kích hoạt một trong những vụ lừa đảo địa chỉ đắt giá nhất trong crypto

Mục lục

• Cuộc gọi video deepfake được sử dụng làm điểm vào
• Chuỗi malware liên kết Triều Tiên nhắm vào người dùng Mac
  • Cách hoạt động của nhiễm trùng Mac
  • Các chiến dịch trộm cắp crypto ngày càng tinh vi

Cuộc gọi video deepfake được sử dụng làm điểm vào

Kuchař cảnh báo rằng các cuộc tấn công thường bắt đầu bằng các tin nhắn từ các liên hệ đáng tin cậy trên Telegram hoặc các nền tảng khác. Nạn nhân nhận được lời mời thảo luận hoặc cũng có thể tham gia một cuộc họp nhanh qua Zoom hoặc Microsoft Teams.

Sau khi nhận cuộc gọi, kẻ tấn công mạo danh người tin cậy đó qua video deepfake do AI tạo ra. Chúng nói rằng có vấn đề âm thanh và yêu cầu nạn nhân cài đặt một plugin hoặc tệp nhất định để khắc phục sự cố. Tệp này cho phép kẻ tấn công truy cập toàn bộ hệ thống.

Theo Kuchař, phương pháp này đã dẫn đến việc trộm Bitcoin, chiếm quyền kiểm soát tài khoản Telegram, và lan truyền thêm lừa đảo qua các danh tính bị chiếm đoạt. Anh khuyên người dùng nên coi tất cả các tin nhắn Telegram là không đáng tin cậy và tránh các cuộc gọi Zoom hoặc Teams chưa xác thực.

Đọc thêm: Hacker chiếm quyền WeChat của đồng sáng lập Binance Yi He để đẩy lừa đảo Meme Coin, gây náo loạn thị trường

Chuỗi malware liên kết Triều Tiên nhắm vào người dùng Mac

Chi tiết kỹ thuật do Kuchař chia sẻ phù hợp với nghiên cứu của công ty an ninh mạng Huntress, đã truy tìm các cuộc tấn công tương tự đến nhóm hacker BlueNoroff, liên kết với nhóm Lazarus của Triều Tiên.

Cách hoạt động của nhiễm trùng Mac

Cuộc tấn công bắt đầu bằng một tên miền Zoom giả mạo với liên kết cuộc họp giả. Khi nạn nhân tham gia cuộc gọi, họ được khuyên tải xuống một tệp có tên Zoom support script. Thực tế, tệp này bị nhiễm mã AppleScript, bắt đầu một cuộc tấn công nhiều giai đoạn.

Bộ công cụ malware sẽ gồm:

• Telegram 2, một trình cập nhật giả duy trì tính liên tục
• Root Troy V4, một cửa hậu truy cập từ xa
• InjectWithDyld, một trình tải ẩn cho các payload mã hóa
• XScreen, công cụ giám sát ghi lại phím và hoạt động màn hình
• CryptoBot, phần mềm thu thập thông tin nhắm vào hơn 20 ví crypto

Các nhà nghiên cứu cho biết malware sẽ lợi dụng chữ ký của nhà phát triển hợp lệ và cài đặt Rosetta trên các thiết bị Apple Silicon để tránh bị phát hiện. Điều này làm cho cuộc tấn công ít bị phát hiện hơn, đặc biệt đối với người dùng Mac có cảm giác an toàn giả tạo rằng hệ thống của họ ít dễ bị tấn công hơn.

Các chiến dịch trộm cắp crypto ngày càng tinh vi

Các nhà nghiên cứu Huntress chỉ ra rằng Mac là mục tiêu lý tưởng vì ngày càng nhiều nhóm crypto triển khai Mac trong doanh nghiệp. Video deepfake tạo độ tin cậy cao, kết hợp hình ảnh thời gian thực với nền tảng đã biết.

Các thói quen bảo mật cơ bản do Kuchař đề xuất đã giúp hạn chế thiệt hại của anh. Anh nhấn mạnh việc sử dụng xác thực hai yếu tố, giải pháp mật khẩu, và ví phần cứng. Anh cũng khuyên dùng các công cụ giao tiếp an toàn hơn như Signal hoặc Jitsi, và trình duyệt an toàn hơn cho các cuộc gọi bảo mật hơn như Google Meet do khả năng sandbox cao hơn.