Tài sản tiền điện tử trò lừa bịp nâng cấp! Bắc Triều Tiên Lazarus sử dụng AI để giả mạo Zoom đánh cắp hàng trăm triệu đô la.

Tin tặc Bắc Triều Tiên đang hoàn thiện một trò lừa bịp thường gặp trong lĩnh vực tài sản tiền điện tử. Theo báo cáo của công ty an ninh số Kaspersky, nhánh BlueNoroff APT thuộc tổ chức tội phạm đáng sợ nhất Bắc Triều Tiên Lazarus Group đang sử dụng hai hoạt động mới có tên GhostCall và GhostHire, tận dụng trí tuệ nhân tạo và các cuộc gọi video lặp lại để tăng cường độ tin cậy.

Nhóm Lazarus Bắc Triều Tiên từ người tìm việc thành thợ săn

（Nguồn：X）

Tin tặc Bắc Triều Tiên đã trở thành một mối đe dọa toàn cầu, nhưng chiến lược xâm nhập của họ đã có những thay đổi đáng kể. Những kẻ tội phạm này trước đây chỉ tìm việc tại các công ty Web3, cố gắng đánh cắp tài sản hoặc cài đặt cửa hậu bằng cách trở thành nhân viên nội bộ. Tuy nhiên, gần đây họ đã bắt đầu sử dụng thông tin tuyển dụng giả để phát tán phần mềm độc hại, chuyển từ người tìm việc thành thợ săn. Bây giờ, kế hoạch của họ lại đang mở rộng, với những phương pháp ngày càng khó nhận diện hơn.

Nhóm Lazarus là tổ chức hacker được chính phủ Bắc Triều Tiên hỗ trợ, được cho là những kẻ trộm tài sản tiền điện tử hoạt động tích cực và thành công nhất thế giới. Theo ước tính của Liên Hợp Quốc và công ty phân tích blockchain Chainalysis, tổ chức này đã đánh cắp hơn 3 tỷ USD tài sản tiền điện tử kể từ năm 2017. Những khoản tiền này được sử dụng để tài trợ cho các chương trình vũ khí hạt nhân và tên lửa của Bắc Triều Tiên, khiến nó trở thành mối đe dọa an ninh quốc tế.

Trong quá khứ, phương pháp của Lazarus tương đối thô sơ. Họ sẽ gửi hàng loạt email lừa đảo kèm theo các tài liệu bị nhiễm, hy vọng có ai đó sẽ nhấp vào. Hoặc họ sẽ giả dạng người tìm việc trên các nền tảng mạng xã hội nghề nghiệp như LinkedIn, cố gắng xâm nhập vào nội bộ của các công ty Tài sản tiền điện tử. Mặc dù những phương pháp này đôi khi thành công, nhưng tỷ lệ thành công không cao, vì nhiều công ty đã thiết lập các cơ chế phòng thủ tương ứng.

Tuy nhiên, BlueNoroff APT, như một nhánh chuyên biệt của Nhóm Lazarus nhắm vào các tổ chức tài chính và các công ty tài sản tiền điện tử, đang thể hiện tính chuyên nghiệp và khả năng thích ứng cao hơn. Các nhà nghiên cứu của Kaspersky phát hiện ra rằng hai hoạt động GhostCall và GhostHire chia sẻ cùng một cơ sở hạ tầng quản lý, cho thấy đây là một kế hoạch tấn công đa chiều được phối hợp tốt.

GhostCall và GhostHire đồng thời trong trò lừa bịp tài sản tiền điện tử

GhostCall và GhostHire đại diện cho một giai đoạn mới trong trò lừa bịp tài sản tiền điện tử, cả hai đều nhắm tới các mục tiêu khác nhau nhưng sử dụng các kỹ thuật kỹ thuật xã hội tương tự.

GhostCall：trò lừa bịp dành cho các nhà đầu tư cấp cao của Web3

Trong GhostCall, những hacker mã hóa từ Bắc Triều Tiên nhắm vào các nhân vật cấp cao trong Web3, giả dạng là các nhà đầu tư tiềm năng. Họ sẽ nghiên cứu bối cảnh, tình hình công ty và các hoạt động gần đây của mục tiêu, sau đó gửi các đề xuất đầu tư hoặc lời mời hợp tác được cá nhân hóa cao. Những thông điệp này thường tuyên bố đại diện cho các quỹ đầu tư mạo hiểm nổi tiếng hoặc văn phòng gia đình, và cho biết họ quan tâm đến việc đầu tư hàng triệu đô la.

Một khi mục tiêu phản hồi, hacker sẽ sắp xếp một cuộc họp video, thường tuyên bố sử dụng Zoom hoặc Microsoft Teams. Tuy nhiên, họ sẽ gửi một liên kết “phiên bản cập nhật” hoặc “phiên bản an toàn” của phần mềm họp, tuyên bố rằng đây là để bảo vệ bí mật kinh doanh hoặc tuân thủ các yêu cầu quy định. Phần mềm này thực sự là một phiên bản clone, được nhúng mã độc.

GhostHire: Trò lừa bịp trong tuyển dụng kỹ sư blockchain

Mặt khác, GhostHire thu hút các kỹ sư blockchain bằng những cơ hội việc làm hấp dẫn. Những kẻ hack giả mạo là nhân viên tuyển dụng của các công ty tài sản tiền điện tử nổi tiếng hoặc các dự án khởi nghiệp, cung cấp mức lương và cổ phần vượt xa thị trường. Để “kiểm tra” kỹ năng của ứng viên, họ yêu cầu hoàn thành một thử thách lập trình hoặc nhiệm vụ kỹ thuật.

Nhiệm vụ này thường liên quan đến việc tải xuống một kho GitHub hoặc môi trường phát triển chuyên biệt. Tuy nhiên, những tệp này chứa phần mềm độc hại, và khi được thực thi, chúng sẽ lây nhiễm vào hệ thống. Kaspersky chỉ ra rằng những kẻ tấn công này đã bắt đầu chú ý đến hệ điều hành mà các nhà phát triển tài sản tiền điện tử ưa chuộng, đặc biệt là macOS và Linux, và phát triển các biến thể phần mềm độc hại một cách có mục tiêu.

Hai loại trò lừa bịp tài sản tiền điện tử này có một thiếu sót chung: nạn nhân phải thực sự tương tác với phần mềm nghi vấn. Điều này làm giảm tỷ lệ thành công của các trò lừa đảo trước đó, vì ngày càng nhiều chuyên gia có ý thức về an ninh sẽ từ chối tải xuống phần mềm không rõ nguồn gốc. Tuy nhiên, những kẻ tấn công từ Bắc Triều Tiên đã tìm thấy một phương pháp mới để tái sử dụng những cơ hội đã mất, điều này chính là chìa khóa cho sự gia tăng mối đe dọa hiện tại.

Công nghệ giả mạo AI biến thất bại thành vũ khí mới

Sự hợp tác tăng cường giữa GhostCall và GhostHire cho phép các hacker cải thiện kỹ thuật kỹ thuật xã hội của họ, đây là sự tiến hóa nguy hiểm nhất hiện nay của các trò lừa bịp tài sản tiền điện tử. Ngoài nội dung được tạo ra bởi AI, họ còn có thể tận dụng tài khoản doanh nhân thực sự bị hack hoặc các đoạn video gọi thực tế, làm cho các trò lừa bịp của họ trở nên đáng tin cậy hơn.

Cách hoạt động cụ thể như sau: Khi một nhân viên cấp cao trong một tài sản tiền điện tử cắt đứt liên lạc với những người tuyển dụng hoặc nhà đầu tư nghi ngờ, hacker sẽ không dễ dàng từ bỏ. Ngược lại, họ sẽ ghi lại toàn bộ quá trình tương tác, bao gồm bất kỳ hình ảnh nào trong cuộc gọi video, đoạn âm thanh và môi trường xung quanh. Ngay cả khi trò lừa bịp này thất bại, những tài liệu này cũng trở thành vũ khí để tấn công nạn nhân tiếp theo.

Bằng cách sử dụng trí tuệ nhân tạo, tin tặc có thể tổng hợp “cuộc đối thoại” mới với sự chân thực đáng kinh ngạc để bắt chước giọng điệu, cử chỉ và môi trường xung quanh của con người. Ví dụ:

Synthesis video giả mạo: Tin tặc có thể sử dụng công cụ AI để kết hợp 30 giây video thực tế thu được từ trò lừa bịp thất bại thành một đoạn “hội thảo đầu tư” hoặc “phỏng vấn kỹ thuật” dài 5 phút, trong đó biểu cảm khuôn mặt và chuyển động môi của nạn nhân được giả mạo đồng bộ hoàn hảo với giọng nói.

Giọng nói nhân bản: Ngay cả với chỉ vài giây mẫu giọng nói, các công cụ AI hiện đại cũng có thể tạo ra giọng nói nhân bản gần như không thể phân biệt được thật giả. Tin tặc có thể khiến “nạn nhân” “đề xuất” một cơ hội đầu tư hoặc quy trình tuyển dụng trong một trò lừa bịp mới.

Danh tính chồng chéo: Phức tạp hơn nữa, hacker sẽ kết hợp nhiều tài liệu từ các trò lừa bịp thất bại, tạo ra một hệ sinh thái giả mạo hoàn chỉnh. Ví dụ, họ có thể để “Nhà đầu tư A” đề cập đến “Nhà sáng lập B” trong video, trong khi cả hai đều là nạn nhân của các trò lừa bịp trước đó.

Điều này nguy hiểm đến mức nào, có thể tưởng tượng được. Một nhà sáng lập dự án Tài sản tiền điện tử có thể đã thoát khỏi một cuộc tấn công nhờ vào sự cảnh giác cao, nhưng lại phát hiện ra rằng hình ảnh của mình đã bị sử dụng để lừa gạt các nhà sáng lập hoặc nhà đầu tư khác vài tuần sau đó. Tệ hơn nữa, những nội dung giả mạo này có thể lan truyền trên mạng xã hội hoặc các mạng chuyên nghiệp, gây tổn hại đến danh tiếng của nạn nhân.

Chuỗi tấn công thực tế và đề xuất phòng thủ

Dù mục tiêu là ai, chuỗi tấn công thực tế của trò lừa bịp tài sản tiền điện tử đều tuân theo một mô hình tương tự:

Giai đoạn một: Nghiên cứu và tiếp xúc

Tin tặc nghiên cứu mục tiêu trên LinkedIn, Twitter và các diễn đàn tài sản tiền điện tử, thu thập thông tin cá nhân và chuyên nghiệp, sau đó gửi đi những tin nhắn ban đầu được cá nhân hóa cao.

Giai đoạn hai: Xây dựng niềm tin

Xây dựng mối quan hệ tin cậy thông qua nhiều cuộc trò chuyện và video call (có thể sử dụng công nghệ giả mạo) để khiến mục tiêu giảm cảnh giác.

Giai đoạn ba: Hướng dẫn tải xuống

Yêu cầu mục tiêu tải xuống phần mềm hoặc tài liệu cụ thể với lý do hợp lý (kiểm tra, tuân thủ, bảo mật).

Giai đoạn bốn: Thâm nhập hệ thống

Một khi phần mềm độc hại được thực thi, hacker sẽ có quyền truy cập vào hệ thống, đánh cắp khóa riêng, cụm từ hạt giống hoặc trực tiếp chuyển tài sản.

Giai đoạn năm: Thu thập tài liệu

Ngay cả khi cuộc tấn công thất bại, hacker vẫn sẽ thu thập tất cả video, âm thanh và thông tin trong quá trình tương tác để sử dụng cho các cuộc tấn công trong tương lai.

Các biện pháp phòng ngừa chính

Xác minh danh tính nghiêm ngặt: Xác nhận danh tính của đối phương thông qua nhiều kênh độc lập, không chỉ phụ thuộc vào một phương thức liên lạc duy nhất.

Từ chối phần mềm không tiêu chuẩn: Kiên quyết sử dụng các công cụ như Zoom, Teams được tải xuống từ chính thức, từ chối bất kỳ “phiên bản đặc biệt” nào.

Môi trường kiểm tra cách ly: Nếu cần phải kiểm tra mã hoặc tài liệu, hãy sử dụng máy ảo hoặc môi trường sandbox, không bao giờ chạy trên hệ thống chính.

Cảnh giác với chiến thuật áp lực cao: Bất kỳ tình huống nào tạo ra cảm giác cấp bách, yêu cầu quyết định nhanh chóng hoặc tuyên bố “chỉ có một cơ hội này” đều cần được nghi ngờ cao độ.

Ví phần cứng và chữ ký đa: Đảm bảo khóa riêng được lưu trữ trong ví phần cứng, tài sản quan trọng được bảo vệ bằng chữ ký đa.

Ngay cả khi những trò lừa bịp tài sản tiền điện tử này thất bại, thiệt hại tiềm tàng vẫn rất lớn. Bất kỳ ai tiếp xúc trong tình huống bất thường hoặc áp lực cao đều nên giữ cảnh giác, tuyệt đối không tải xuống phần mềm không quen thuộc hoặc chấp nhận những yêu cầu không phù hợp. Sự tiến hóa liên tục của Nhóm Lazarus từ Bắc Triều Tiên cho thấy, an ninh tài sản tiền điện tử không chỉ là vấn đề công nghệ, mà còn là một cuộc chiến lâu dài chống lại những kẻ tấn công cấp quốc gia.