Lazarus, băng đảng cướp biển được chính phủ Triều Tiên tài trợ, tiếp tục cải tiến chiến thuật để cướp tiền của những gã khổng lồ tiền điện tử. Theo phát hiện của các nhà nghiên cứu Sekoia, nhóm này hiện đã áp dụng một kỹ thuật gọi là ClickFix. Chiến lược này được nhiều tin tặc sử dụng rộng rãi, dựa trên việc thao túng người dùng. Tội phạm mạng phải lừa mục tiêu thực hiện các hành động nguy hiểm, cho phép họ trốn tránh các hệ thống an ninh.
Trong trường hợp các cuộc tấn công của Lazarus, những người tìm việc trong thế giới tiền điện tử sẽ nhận được một tin nhắn có chứa tài liệu hoặc liên kết đến một trang web. Những mục này sẽ hiển thị cảnh báo sai cho biết đã gặp phải sự cố về chế độ xem. Để sửa lỗi, người dùng được yêu cầu nhấp vào cảnh báo và làm theo hướng dẫn được cung cấp, điều này sẽ dẫn đến việc cài đặt vi-rút. Phần mềm độc hại này sau đó sẽ chiếm đoạt tiền điện tử của mục tiêu. Số bitcoin bị đánh cắp sau đó sẽ làm đầy kho bạc của chính phủ Triều Tiên. Từ năm 2017, Triều Tiên đã sử dụng Lazarus để kiếm lời.
Để kết nối với những người tìm việc, Lazarus sử dụng email hoặc phương tiện truyền thông xã hội, chẳng hạn như X hoặc LinkedIn. Sau đó, chúng quảng bá các dự án phần mềm hoặc thử nghiệm công cụ đang được phát triển để thuyết phục nạn nhân tải xuống và cài đặt vi-rút. Đây là nơi xảy ra báo động giả và hoàn tất quá trình tấn công. Rõ ràng, Lazarus sẽ hiệu chỉnh các tài liệu được gửi theo mục tiêu và kỹ năng của họ.
Đây là lý do tại sao các nhà phát triển sẽ nhận được các bài kiểm tra phần mềm, trái ngược với những lời mời phỏng vấn trực tuyến đơn giản dành cho hồ sơ có định hướng tiếp thị hơn. Trong quá trình trao đổi, tin tặc "bày tỏ sự quan tâm đến một người tham gia tiềm năng và đề nghị họ truy cập trang web của bên thứ ba để tham gia một cuộc phỏng vấn ngắn". từ xa để thu thập thêm thông tin về chủ thể của mình».
Nguồn: Sekoia
Trong trường hợp các cuộc tấn công của Lazarus, những người tìm việc trong thế giới tiền điện tử sẽ nhận được một tin nhắn có chứa tài liệu hoặc liên kết đến một trang web. Những mục này sẽ hiển thị cảnh báo sai cho biết đã gặp phải sự cố về chế độ xem. Để sửa lỗi, người dùng được yêu cầu nhấp vào cảnh báo và làm theo hướng dẫn được cung cấp, điều này sẽ dẫn đến việc cài đặt vi-rút. Phần mềm độc hại này sau đó sẽ chiếm đoạt tiền điện tử của mục tiêu. Số bitcoin bị đánh cắp sau đó sẽ làm đầy kho bạc của chính phủ Triều Tiên. Từ năm 2017, Triều Tiên đã sử dụng Lazarus để kiếm lời.
Lazarus mạo danh các nền tảng tiền điện tử
Để bẫy mục tiêu, Lazarus lừa đảo danh tính của những công ty lớn trong ngành tiền điện tử, bao gồm Coinbase, KuCoin, Kraken, Circle, Securitize, BlockFi, Tether, Robinhood và Bybit. Bằng cách đóng giả các công ty này, tin tặc Lazarus cung cấp các cuộc phỏng vấn giả cho những người đang tìm kiếm việc làm trong thế giới tiền điện tử.Để kết nối với những người tìm việc, Lazarus sử dụng email hoặc phương tiện truyền thông xã hội, chẳng hạn như X hoặc LinkedIn. Sau đó, chúng quảng bá các dự án phần mềm hoặc thử nghiệm công cụ đang được phát triển để thuyết phục nạn nhân tải xuống và cài đặt vi-rút. Đây là nơi xảy ra báo động giả và hoàn tất quá trình tấn công. Rõ ràng, Lazarus sẽ hiệu chỉnh các tài liệu được gửi theo mục tiêu và kỹ năng của họ.
Đây là lý do tại sao các nhà phát triển sẽ nhận được các bài kiểm tra phần mềm, trái ngược với những lời mời phỏng vấn trực tuyến đơn giản dành cho hồ sơ có định hướng tiếp thị hơn. Trong quá trình trao đổi, tin tặc "bày tỏ sự quan tâm đến một người tham gia tiềm năng và đề nghị họ truy cập trang web của bên thứ ba để tham gia một cuộc phỏng vấn ngắn". từ xa để thu thập thêm thông tin về chủ thể của mình».
Một cuộc tấn công đã diễn ra trong hai năm
Khi nạn nhân cố gắng quay video bằng webcam, một thông báo lỗi giả sẽ hiển thị. Bài viết này khẳng định rằng có vấn đề về trình điều khiển đang chặn camera và đưa ra hướng dẫn để khắc phục sự cố. Trình điều khiển mới thực sự chứa phần mềm độc hại. Để đạt được mục đích, cuộc tấn công dựa trên phần mềm độc hại có tên là GolangGhost. Tương thích với Windows và macOS, nó có khả năng kiểm soát máy tính từ xa, theo dõi hoạt động của người dùng hoặc cài đặt các công cụ độc hại khác. Chiến dịch này đã diễn ra trong hai năm, nhưng số lượng nỗ lực xâm nhập vẫn còn cao. trong quý đầu tiên của năm 2025, với sự xuất hiện của chiến thuật ClickFix mới.Nguồn: Sekoia
