Người tìm việc tiền điện tử Ấn Độ đang phải đối mặt với mối đe dọa phần mềm độc hại mới từ tin tặc có liên hệ với Triều Tiên

Theo các tin tặc có liên hệ với nhà nước Bắc Triều Tiên đang nhắm mục tiêu vào các chuyên gia tiền điện tử ở Ấn Độ bằng một chiến dịch phần mềm độc hại mới và có mục tiêu cao công ty an ninh mạng Cisco Talos. Những kẻ tấn công được xác định là một nhóm được gọi là Chollima nổi tiếng, đang sử dụng các cuộc phỏng vấn xin việc giả mạo và các trang web kiểm tra kỹ năng gian lận để lây nhiễm thiết bị của người dùng bằng Trojan truy cập từ xa (RAT) dựa trên Python mới có tên là PylangGhost.

Hoạt động này, diễn ra từ giữa năm 2024, đánh dấu chương mới nhất trong nỗ lực do thám tiền điện tử ngày càng mở rộng của Triều Tiên. Các nhà nghiên cứu của Cisco Talos tiết lộ rằng những kẻ tấn công đang đóng giả làm người tuyển dụng cho các công ty tiền điện tử nổi tiếng như Coinbase, Unwwap, Robinhood và Archblock. Mục tiêu chính của họ: kỹ sư phần mềm, chuyên gia tiếp thị và các chuyên gia khác về blockchain và tài sản kỹ thuật số.

Mồi nhử việc làm và phỏng vấn giả

Chiến dịch bắt đầu bằng kỹ thuật xã hội. Nạn nhân được liên hệ bởi những người tuyển dụng được cho là và được mời đến thăm các bản sao thuyết phục của các trang tuyển dụng hợp pháp của công ty. Các trang web này có các bài kiểm tra đánh giá kỹ năng và yêu cầu thông tin nhạy cảm như tên đầy đủ, sơ yếu lý lịch, địa chỉ ví và thông tin xác thực.

Sau đó, các ứng viên được hướng dẫn bật quyền truy cập camera và micrô để phỏng vấn qua video. Trong giai đoạn này, những người tuyển dụng giả mạo yêu cầu nạn nhân chạy một số lệnh nhất định—được ngụy trang dưới dạng cài đặt trình điều khiển video—kích hoạt cài đặt PylangGhost phần mềm độc hại.

Cisco Talos xác nhận RAT cung cấp cho tin tặc quyền kiểm soát hoàn toàn từ xa các hệ thống bị nhiễm và có khả năng đánh cắp thông tin đăng nhập và cookie từ hơn 80 tiện ích mở rộng của trình duyệt. Chúng bao gồm các trình quản lý mật khẩu và ví tiền điện tử được sử dụng rộng rãi như MetaMask, 1Password, NordPass, Phantom, TronLink và MultiverseX.

Phần mềm độc hại nâng cao với quyền truy cập liên tục

PylangGhost là sự phát triển dựa trên Python của một mối đe dọa đã biết trước đây có tên là GolangGhost. Các mục tiêu biến thể mới Hệ thống Windows độc quyền, và được thiết kế để đánh cắp dữ liệu và duy trì quyền truy cập liên tục vào các máy bị xâm phạm. Theo Cisco Talos, các hệ thống Linux dường như không bị ảnh hưởng trong làn sóng tấn công này.

Phần mềm độc hại có thể thực hiện nhiều lệnh khác nhau: chụp ảnh màn hình, thu thập thông tin chi tiết về hệ thống, quản lý tệp và thiết lập điều khiển từ xa liên tục. Nó hoạt động thông qua nhiều máy chủ chỉ huy và điều khiển được đăng ký dưới các tên miền có vẻ đáng tin cậy, như quickcamfix.trực tuyến or autodriverfix.trực tuyến.

Không giống như các vụ lừa đảo trước đó, chiến dịch này không tập trung vào lừa đảo hàng loạt hoặc trộm cắp trực tiếp từ các sàn giao dịch. Thay vào đó, đây là một cuộc tấn công phẫu thuật nhằm vào các chuyên gia trong lĩnh vực tiền điện tử, những người có quyền truy cập vào cơ sở hạ tầng quan trọng, các công cụ nội bộ và dữ liệu nhạy cảm.

Ấn Độ: Một mục tiêu có giá trị cao

Ấn Độ, một trong những trung tâm phát triển blockchain phát triển nhanh nhất, đã trở thành mục tiêu chính. Nhiều chuyên gia làm việc trên các nền tảng tiền điện tử toàn cầu có trụ sở tại quốc gia này và chiến lược mới này đóng vai trò trực tiếp vào sự tập trung tài năng đó.

Theo Dileep Kumar HV, giám đốc tại Digital South Trust, Ấn Độ cần những cải cách khẩn cấp để đối phó với loại mối đe dọa này. Ông kêu gọi kiểm toán an ninh mạng bắt buộc đối với các công ty blockchain, tăng cường giám sát các trang web việc làm giả mạo và cải cách pháp lý theo Đạo luật CNTT của Ấn Độ.

Khám phá những dự án đầy hứa hẹn...

Các dự án đầy hứa hẹn...

Bài viết còn tiếp tục...

Ông cũng thúc giục các cơ quan chính phủ như CHỨNG NHẬN, TÍNH NĂNGvà NCIIPC để tăng cường hợp tác và phát động các chiến dịch nâng cao nhận thức của cộng đồng, cũng như chia sẻ thông tin tình báo với các khu vực pháp lý khác.

Một mô hình ngày càng gia tăng của hoạt động gián điệp kỹ thuật số

Những lời mời làm việc giả mạo đã trở thành một công cụ thường trực trong các chiến thuật tấn công mạng của Triều Tiên. Tập đoàn Lazarus, một nhóm tin tặc khác có liên hệ với Triều Tiên, đã sử dụng một chiến thuật tương tự vào đầu năm 2024. Họ tạo ra các công ty giả mạo có trụ sở tại Hoa Kỳ như Công ty TNHH BlockNovas và Công ty TNHH SoftGlide để dụ các nhà phát triển tiền điện tử vào các cuộc phỏng vấn đầy phần mềm độc hại.

Trong một vụ việc, tin tặc Lazarus đã đóng giả là nhà thầu cũ để xâm nhập Radiant Capital, dẫn đến thiệt hại 50 triệu đô la. Một tuyên bố chung từ Nhật Bản, Hàn Quốc và Hoa Kỳ gần đây đã xác nhận rằng Các nhóm có liên quan đến Triều Tiên đã đánh cắp 659 triệu đô la tiền điện tử chỉ trong 2024.

Những chiến dịch này không chỉ là về trộm cắp. Chúng ngày càng nhắm đến việc thu thập thông tin tình báo và xâm nhập vào các công ty tiền điện tử từ bên trong. Mục tiêu cuối cùng dường như là cả lợi nhuận tài chính và kiểm soát chiến lược đối với các hệ thống blockchain và dữ liệu.

Biện pháp đối phó và con đường phía trước

Báo cáo của Cisco Talos là lời cảnh tỉnh cho các chuyên gia trong lĩnh vực tiền điện tử. Công ty khuyên nên cảnh giác cao độ trong quá trình tìm kiếm việc làm, đặc biệt là khi tham gia vào các nền tảng mới, nhà tuyển dụng không quen thuộc hoặc URL không xác định.

Các chuyên gia khuyên rằng:

• Tránh cài đặt phần mềm hoặc chạy lệnh trong khi phỏng vấn xin việc.
• Xác minh tính hợp pháp của công ty và nhà tuyển dụng.
• Sử dụng công cụ bảo vệ điểm cuối và chống phần mềm độc hại.
• Thường xuyên cập nhật mật khẩu và kích hoạt xác thực hai yếu tố.

Các công ty cũng nên thắt chặt kiểm soát nội bộ và đảm bảo nhân viên được đào tạo để phát hiện và báo cáo các nỗ lực tấn công kỹ thuật xã hội.