Tin tặc Triều Tiên đang giả mạo họp Zoom để phát tán file patch cài malware, đánh cắp mật khẩu và khóa riêng ví tiền điện tử; thiệt hại đã vượt trên 300 triệu USD.
SEAL cảnh báo kẻ tấn công điều hướng từ tài khoản Telegram quen thuộc, ngụy trang link/clip họp, gửi patch với lý do lỗi âm thanh rồi tiếp tục xâm nhập ngay cả khi cuộc gọi đã kết thúc. Taylor Monahan cho biết tổng thiệt hại đã vượt mốc 300 triệu USD.
- Zoom giả mạo + patch độc hại đánh cắp mật khẩu/khóa riêng.
- Thiệt hại cộng dồn trên 300 triệu USD (Taylor Monahan).
- Chuỗi lừa: Telegram quen thuộc → link/clip giả → gửi patch → duy trì xâm nhập.
Phương thức tấn công
Kẻ tấn công mạo danh qua Telegram, mời họp Zoom giả và phát file patch chứa malware, nhằm chiếm quyền và lấy mật khẩu, khóa riêng của ví tiền điện tử.
Quy trình: chuyển hướng từ tài khoản Telegram quen; gửi link họp hoặc video ghi sẵn đã ngụy trang; trong cuộc gọi, yêu cầu cài patch với lý do lỗi âm thanh; sau khi nạn nhân cài đặt, mã độc tiếp tục hoạt động âm thầm dù cuộc gọi đã kết thúc.
SEAL xác định chiến thuật do nhóm hacker Triều Tiên triển khai, tập trung đánh cắp thông tin đăng nhập và khóa riêng để rút tài sản. Lợi dụng sự tin tưởng vào tài khoản quen và giao diện họp hợp lệ khiến nạn nhân dễ chấp nhận cài đặt patch.
Khuyến nghị khẩn cấp khi đã bấm link
Ngắt internet, tắt máy; chuyển tài sản sang ví mới bằng thiết bị khác; đổi toàn bộ mật khẩu và bật xác thực hai yếu tố; dọn sạch thiết bị nhiễm; đồng thời kết thúc các cuộc trò chuyện Telegram khác, đổi mật khẩu, bật đa yếu tố và cảnh báo liên hệ.
Ưu tiên bảo vệ ví tiền điện tử trước: tạo ví mới trên thiết bị an toàn, chuyển toàn bộ tài sản; sau đó thay đổi mật khẩu mọi dịch vụ liên quan (email, sàn, ví, lưu trữ), kích hoạt 2FA/MFA; cuối cùng, quét và làm sạch triệt để thiết bị nhiễm để ngăn tái xâm nhập.
