Các hacker Triều Tiên tấn công qua tiền điện tử bằng chiến dịch lừa đảo tinh vi
Những hacker Triều Tiên, được biết đến với tên gọi nổi bật là Famous Chollima, đã nhắm vào giới chuyên gia tiền điện tử bằng các cuộc tấn công lừa đảo qua các trang tuyển dụng giả mạo. Mục tiêu là thu thập dữ liệu xác thực và cài đặt phần mềm độc hại vào thiết bị của nạn nhân. Các malware này đã lấy cắp quyền truy cập từ hơn 80 tiện ích mở rộng trình duyệt, gồm cả ví tiền điện tử như Metamask, TronLink, MultiverseX, cùng các quản lý Passphrase như 1Password, NordPass.
Phương thức tấn công qua các trang tuyển dụng giả mạo
Nghiên cứu của Cisco Talos chỉ rõ rằng, nhóm hacker giả danh các công ty uy tín như Coinbase, Uniswap, Robinhood để điều hướng nạn nhân tới các trang web kiểm thử kỹ năng giả mạo. Tại đây, nạn nhân bị bắt buộc nhập thông tin cá nhân, trả lời các câu hỏi kỹ thuật dẫn đến lộ dữ liệu hoặc tải malware về thiết bị. Các trường hợp này chủ yếu xảy ra tại Ấn Độ, theo phân tích từ các nguồn mở.
Liên kết rõ ràng với nhóm hacker Triều Tiên
Cisco Talos xác nhận malware mới dựa trên Python, có tên gọi “PylangGhost”, liên kết với nhóm hacker nhận dạng là Famous Chollima, còn gọi là “Wagemole”. Malware này có khả năng kiểm soát từ xa, tương đương nhiều chức năng của biến thể GolangGhost trước đó, tập trung tấn công hệ thống Windows. Các hoạt động của nhóm này bắt đầu từ năm 2024, qua hàng loạt chiến dịch tung những quảng cáo tuyển dụng giả mạo và các trang kiểm thử kỹ năng tinh vi.
Chiến dịch tấn công qua các cuộc phỏng vấn giả mạo
Trong chiến dịch mới nhất, các ứng viên bị yêu cầu bật quyền truy cập camera trong cuộc phỏng vấn video và sao chép các lệnh độc hại. Tệp “nvidia.py” sẽ khởi động RAT, tạo giá trị registry, kết nối tới máy chủ điều khiển (C2), và thiết lập vòng lặp truyền lệnh. Các lệnh này đều tùy chỉnh theo trình duyệt và hệ điều hành, như PowerShell, Bash, hoặc Command Shell, nhằm tối ưu khả năng kiểm soát từ xa.
Ảnh hưởng của nhóm hacker Triều Tiên trên thị trường tiền điện tử toàn cầu
Bên cạnh việc trực tiếp đánh cắp từ các sàn giao dịch, các hacker này còn hướng tới các giới chuyên gia crypto nhằm thu thập thông tin chiến lược và thâm nhập nội bộ các công ty tiền điện tử. Đầu năm 2024, nhóm hacker Triều Tiên đã dùng các công ty giả mạo như BlockNovas LLC và SoftGlide LLC để phát tán malware qua các cuộc phỏng vấn giả mạo, trước khi FBI thu giữ các tên miền này.
Vai trò của Bắc Triều Tiên trong các âm mưu tấn công tinh vi
Vào tháng 12 năm 2024, nhóm hacker Bắc Triều Tiên đã tấn công bằng cách gửi các file PDF nhiễm malware tới các kỹ sư, với mục tiêu cấy mã độc và lấy cắp 50 triệu USD qua các vụ rút tiền trái phép tại Radiant Capital. Chính phủ Nhật Bản, Hàn Quốc và Hoa Kỳ đã xác nhận rằng các nhóm như Lazarus đã chiếm đoạt ít nhất 659 triệu USD qua hàng loạt vụ xâm nhập tiền điện tử trong năm 2024. Hoạt động của các kỹ sư “khủng bố” này chính là nguồn tài trợ hậu cần cho chương trình vũ khí của chế độ.
Số liệu và Dự đoán về hoạt động tấn công của hacker Bắc Triều Tiên
Chuyên gia phân tích của Chainalysis, Erin Plante, khẳng định rằng nhóm hacker Bắc Triều Tiên là lực lượng tấn công trực tuyến tích cực nhất trong lĩnh vực tiền điện tử. Năm 2022, nhóm này đã đánh cắp ước tính 1,7 tỷ USD tiền điện tử từ các vụ xâm nhập, tăng gấp đôi so với 428,8 triệu USD của năm 2021. Đặc biệt, các sàn như Kraken cũng nhận diện và ngăn chặn thành công một nhân viên hợp tác của Bắc Triều Tiên trong quá trình tuyển dụng qua mạng.
