Các hacker liên kết với Triều Tiên sử dụng cuộc gọi video deepfake để nhắm vào nhân viên tiền điện tử

Tóm tắt ngắn gọn

• Kẻ tấn công đã sử dụng cuộc gọi video giả mạo và “sửa âm thanh” Zoom để phát tán phần mềm độc hại macOS.
• Phương pháp này phù hợp với một kỹ thuật xâm nhập đã được ghi nhận trước đó liên quan đến nhóm BlueNoroff của Triều Tiên, một phân nhóm của Lazarus.
• Sự cố xảy ra khi các vụ lừa đảo giả mạo dựa trên AI đẩy thiệt hại tiền điện tử lên mức kỷ lục 17 tỷ đô la vào năm 2025.

Các hacker liên kết với Triều Tiên tiếp tục sử dụng cuộc gọi video trực tiếp, bao gồm cả deepfake do AI tạo ra, để lừa các nhà phát triển và nhân viên tiền điện tử cài đặt phần mềm độc hại trên chính thiết bị của họ. Trong trường hợp mới nhất được đồng sáng lập BTC Prague, Martin Kuchař, tiết lộ, các kẻ tấn công đã sử dụng một tài khoản Telegram bị xâm phạm và một cuộc gọi video giả để đẩy phần mềm độc hại ngụy trang thành bản “sửa âm thanh” của Zoom, ông nói. Chiến dịch hack cấp cao này dường như “nhắm vào người dùng Bitcoin và tiền điện tử,” Kuchař tiết lộ vào thứ Năm trên X. 

Kẻ tấn công liên hệ với nạn nhân và thiết lập cuộc gọi Zoom hoặc Teams, Kuchař giải thích. Trong cuộc gọi, họ sử dụng video do AI tạo ra để xuất hiện như một người mà nạn nhân quen biết. Sau đó, họ tuyên bố có vấn đề về âm thanh và yêu cầu nạn nhân cài đặt một plugin hoặc tệp để khắc phục. Khi đã cài đặt, phần mềm độc hại cấp quyền truy cập toàn bộ hệ thống cho kẻ tấn công, cho phép họ đánh cắp Bitcoin, chiếm quyền kiểm soát tài khoản Telegram, và sử dụng các tài khoản đó để tấn công người khác. Điều này xảy ra khi các vụ lừa đảo giả mạo dựa trên AI đã đẩy thiệt hại liên quan đến tiền điện tử lên mức kỷ lục 17 tỷ đô la vào năm 2025, với kẻ tấn công ngày càng sử dụng deepfake video, sao chép giọng nói và danh tính giả để lừa đảo nạn nhân và truy cập vào quỹ, theo dữ liệu từ công ty phân tích chuỗi khối Chainalysis. Các cuộc tấn công tương tự Chiến thuật tấn công, như mô tả bởi Kuchař, gần như trùng khớp với một kỹ thuật được ghi nhận lần đầu bởi công ty an ninh mạng Huntress, đã báo cáo vào tháng Bảy năm ngoái rằng các kẻ tấn công này dụ dỗ một nhân viên tiền điện tử mục tiêu vào một cuộc gọi Zoom giả sau liên lạc ban đầu qua Telegram, thường sử dụng một liên kết cuộc họp giả mạo được lưu trữ trên tên miền Zoom giả mạo.

Trong cuộc gọi, kẻ tấn công sẽ tuyên bố có vấn đề về âm thanh và hướng dẫn nạn nhân cài đặt một bản sửa lỗi liên quan đến Zoom, thực chất là một AppleScript độc hại khởi động quá trình nhiễm macOS theo nhiều giai đoạn, theo Huntress. Khi thực thi, script này vô hiệu hóa lịch sử shell, kiểm tra hoặc cài đặt Rosetta 2 (một lớp dịch thuật) trên các thiết bị Apple Silicon, và liên tục yêu cầu người dùng nhập mật khẩu hệ thống để nâng cao quyền hạn. Nghiên cứu cho thấy chuỗi phần mềm độc hại này cài đặt nhiều payload, bao gồm các backdoor bền vững, công cụ ghi bàn phím và clipboard, cùng các phần mềm đánh cắp ví tiền điện tử, một chuỗi tương tự mà Kuchař đề cập khi tiết lộ vào thứ Hai rằng tài khoản Telegram của ông đã bị xâm phạm và sau đó được sử dụng để tấn công người khác theo cách tương tự. Mẫu hình xã hội Các nhà nghiên cứu an ninh tại Huntress đã xác định chính xác cao rằng cuộc xâm nhập này liên quan đến một mối đe dọa tồn tại liên tục liên kết với Triều Tiên, được theo dõi dưới tên TA444, còn gọi là BlueNoroff và nhiều bí danh khác, hoạt động dưới danh nghĩa nhóm Lazarus, một nhóm do nhà nước bảo trợ tập trung vào trộm cắp tiền điện tử từ ít nhất năm 2017. Khi được hỏi về mục tiêu hoạt động của các chiến dịch này và liệu họ có nghĩ rằng có mối liên hệ hay không, Shān Zhang, giám đốc an ninh thông tin của công ty bảo mật blockchain Slowmist, nói với Decrypt rằng cuộc tấn công mới nhất vào Kuchař “có thể” liên quan đến các chiến dịch lớn hơn của nhóm Lazarus. “Có sự tái sử dụng rõ ràng trong các chiến dịch. Chúng tôi liên tục thấy việc nhắm mục tiêu vào các ví cụ thể và sử dụng các script cài đặt rất giống nhau,” David Liberman, đồng sáng lập mạng lưới tính toán AI phi tập trung Gonka, nói với Decrypt. Hình ảnh và video “không còn có thể được coi là bằng chứng xác thực đáng tin cậy,” Liberman nói, thêm rằng nội dung kỹ thuật số “nên được ký số bằng chữ ký của người sáng tạo, và các chữ ký này nên yêu cầu xác thực đa yếu tố.” Các câu chuyện, trong các bối cảnh như thế này, đã trở thành “một tín hiệu quan trọng để theo dõi và phát hiện” do cách các cuộc tấn công này “dựa vào các mẫu xã hội quen thuộc,” ông nói.

Nhóm Lazarus của Triều Tiên liên quan đến các chiến dịch chống lại các công ty, nhân viên và nhà phát triển tiền điện tử, sử dụng phần mềm độc hại tùy chỉnh và kỹ thuật xã hội tinh vi để đánh cắp tài sản kỹ thuật số và truy cập thông tin đăng nhập.