Các tội phạm mạng Triều Tiên gần đây đã chuyển hướng mục tiêu sang các công ty tiền mã hóa bằng cách sử dụng một biến thể phần mềm độc hại mới, hoạt động trên thiết bị Apple thông qua một cuộc tấn công phức tạp nhiều giai đoạn. Theo báo cáo mới được công bố bởi công ty an ninh mạng Sentinel Labs, chiến dịch tấn công này đang ngày càng lan rộng và nguy hiểm, khai thác các kỹ thuật lừa đảo tinh vi để xâm nhập vào hệ thống của nạn nhân.
Cụ thể, chiến dịch này dựa chủ yếu vào kỹ thuật tấn công thông qua kỹ xảo xã hội (social engineering), bằng cách giả mạo thân phận để tiếp cận các nhân viên trong lĩnh vực tiền mã hóa. Các hacker thường cải trang thành nhà tuyển dụng hoặc những chuyên gia trong ngành công nghệ, sau đó tiếp cận mục tiêu qua các nền tảng chuyên môn như LinkedIn, Github, hoặc thông qua các trao đổi trực tiếp qua email.
Khi đã thiết lập được lòng tin ban đầu, các đối tượng xấu sẽ gửi cho nạn nhân những tài liệu hoặc phần mềm được gắn mã độc, thường được nguỵ trang dưới dạng tệp hồ sơ công việc hoặc công cụ phân tích kỹ thuật. Khi người dùng mở các tệp này trên thiết bị Apple, mã độc sẽ được kích hoạt. Điểm đặc biệt của mã độc lần này là khả năng tương thích cao với hệ điều hành macOS cũng như cơ chế tự động tải xuống các payload độc hại tiếp theo theo từng giai đoạn, làm cho quá trình xâm nhập trở nên khó phát hiện và ngăn chặn hơn.
Sentinel Labs đánh giá đây là một biến thể mới trong kho vũ khí mạng mà các nhóm hacker thuộc chính quyền Triều Tiên đang sử dụng, đặc biệt liên quan đến nhóm Lazarus khét tiếng. Lazarus là một nhóm hacker được cho là được chính phủ Triều Tiên hậu thuẫn và đã thực hiện nhiều cuộc tấn công có chủ đích vào các tổ chức tài chính và công nghệ trên toàn cầu trong suốt nhiều năm qua.
Mục tiêu chính của chiến dịch là đánh cắp các thông tin quan trọng, bao gồm khoá ví tiền mã hóa, dữ liệu truy cập hệ thống quản lý tài sản kỹ thuật số và thông tin khách hàng. Với sự quan tâm ngày càng tăng đối với thị trường tiền mã hóa cũng như giá trị tài sản ngày càng lớn của các công ty trong lĩnh vực này, tội phạm mạng do nhà nước hậu thuẫn đang nhắm vào đây như một kênh “thu ngoại tệ”.
Các chuyên gia an ninh mạng khuyến cáo các tổ chức trong lĩnh vực tiền số cần nâng cao cảnh giác, đặc biệt với các email đến từ người lạ và các liên kết không rõ nguồn gốc. Ngoài ra, các chuyên gia kỹ thuật nên cập nhật hệ điều hành thường xuyên và sử dụng các phần mềm bảo mật có khả năng phát hiện sớm các hành vi đáng ngờ trên macOS.
Trong bối cảnh tội phạm mạng ngày càng tinh vi và có tổ chức, bản chất đa giai đoạn và ngụy trang kỹ lưỡng của phần mềm độc hại này là lời cảnh báo quan trọng cho toàn ngành tiền mã hóa về mối đe dọa ngày càng lớn từ các quốc gia thù địch trên không gian mạng.
