Nhóm tin tặc Lazarus nhắm mục tiêu vào ví tiền điện tử bằng việc sử dụng trình đánh cắp Javascript

10:00 | 13/02/2025 | HACKER / MALWARE

Các nhà nghiên cứu của công ty phần mềm an ninh mạng và diệt virus Bitdefender (Romania) đã tìm hiểu về nhóm tin tặc Lazarus có liên quan đến Triều Tiên, hiện đang sử dụng một hình thức tấn công mới thông qua các lời mời làm việc giả mạo trên LinkedIn trong lĩnh vực tiền điện tử và du lịch để phát tán phần mềm đánh cắp JavaScript đa nền tảng nhắm vào các ví tiền điện tử.

Nhóm tin tặc này thường dụ dỗ nạn nhân bằng những lời mời làm việc giả mạo cho các dự án tiền điện tử, du lịch hoặc tài chính, hứa hẹn là những công việc có thể làm việc từ xa, linh hoạt và mức lương tốt trong khi vẫn giữ bí mật thông tin.

Chúng yêu cầu nạn nhân liên kết CV hoặc GitHub để thu thập dữ liệu cá nhân và làm cho kế hoạch có vẻ hợp pháp để lấy lòng tin của nạn nhân. Sau đó, chúng chia sẻ một dự án giả mạo có chứa mã độc ẩn, yêu cầu nạn nhân chạy bản demo và tải các tập lệnh có hại từ nguồn của bên thứ ba.

Cụ thể, kẻ tấn công chia sẻ một kho lưu trữ với MVP và một tài liệu yêu cầu thực thi với các câu hỏi chỉ có thể được trả lời bằng cách thực hiện bản demo. Thoạt nhìn thì chúng có vẻ vô hại nhưng ẩn chứa trong đó là một tập lệnh được che giấu chứa phần mềm độc hại.

Nhóm tin tặc Lazarus nhắm mục tiêu vào ví tiền điện tử bằng việc sử dụng trình đánh cắp Javascript

Yêu cầu trả lời các câu hỏi chỉ có thể được trả lời bằng cách thực hiện bản demo

Phần mềm độc hại này có thể nhắm mục tiêu vào các hệ điều hành Windows, MacOS và Linux, cho phép kẻ tấn công nhắm mục tiêu vào các ví tiền điện tử phổ biến bằng cách tìm kiếm các tiện ích mở rộng duyệt web liên quan đến tiền điện tử. Không chỉ vậy, phần mềm độc hại này cũng đánh cắp dữ liệu trình duyệt và thông tin đăng nhập, sau đó triển khai các tải trọng dựa trên Python và .NET để ghi lại phím, theo dõi các thay đổi nội dung bảng tạm, do thám hệ thống, khai thác tiền điện tử và liên lạc C2 liên tục qua Tor và IP do kẻ tấn công kiểm soát

Các nhà nghiên cứu cho biết chiến dịch này được nhóm tin tặc Lazarus thực hiện dựa trên phân tích phần mềm độc hại và chiến thuật hoạt động. Nhóm tin tặc này trước đây đã từng tham gia vào một chiến dịch sử dụng các lời mời làm việc độc hại và đơn xin việc giả mạo.

“Mục tiêu của chúng không chỉ là đánh cắp dữ liệu cá nhân. Bằng cách nhắm mục tiêu vào những người làm việc trong các lĩnh vực như hàng không, quốc phòng và công nghiệp hạt nhân, chúng nhắm đến việc đánh cắp thông tin mật, công nghệ độc quyền và thông tin xác thực của công ty. Trong trường hợp này, việc thực thi phần mềm độc hại trên các thiết bị doanh nghiệp có thể cấp cho kẻ tấn công quyền truy cập vào dữ liệu nhạy cảm của công ty, làm gia tăng thiệt hại” báo cáo của Bitdefender kết luận.

Các chuyên gia đã quan sát thấy rằng cùng một tác nhân đe dọa đã cố gắng xâm nhập vào nhiều công ty khác nhau bằng cách làm giả danh tính và nộp đơn xin việc cho nhiều vị trí khác nhau, nhằm mục đích đánh cắp thông tin cá nhân, thông tin xác thực và công nghệ của công ty.

Quốc Trường

‹ › ×

Tin liên quan

Vén màn sự phát triển chuỗi lây nhiễm độc hại của nhóm tin tặc Lazarus

21:00 | 26/01/2025

Trong vài năm qua, nhóm tin tặc Lazarus đã phân phối phần mềm độc hại bằng cách khai thác các cơ hội việc làm giả mạo nhắm vào nhân viên trong nhiều ngành công nghiệp khác nhau, bao gồm quốc phòng, hàng không vũ trụ, tiền điện tử và các lĩnh vực toàn cầu khác. Chiến dịch tấn công này được gọi là DeathNote và cũng được gọi là “Operation DreamJob”. Bài viết sẽ cung cấp tổng quan về những thay đổi đáng kể trong chuỗi lây nhiễm của Lazarus và khám phá cách chúng kết hợp việc sử dụng các mẫu phần mềm độc hại mới và cũ để điều chỉnh các cuộc tấn công.

DeepSeek bị tin tặc tấn công và mạo danh lừa đảo

22:00 | 31/01/2025

Sau khi gây sốt trên toàn cầu, công ty trí tuệ nhân tạo Trung Quốc DeepSeek liên tiếp gặp sự cố.

Tin tặc Star Blizzard nhắm mục tiêu vào các tài khoản WhatsApp trong chiến dịch lừa đảo mới

17:00 | 28/01/2025

Nhóm tin tặc người Nga Star Blizzard được cho là có liên quan đến một chiến dịch lừa đảo trực tuyến mới nhắm vào tài khoản WhatsApp của nạn nhân, đánh dấu sự thay đổi so với phương thức tấn công lâu đời của nhóm này nhằm mục đích tránh bị phát hiện.

Tin cùng chuyên mục

Mạo danh dịch vụ an ninh và bảo mật của Windows để lừa đảo

22:00 | 30/01/2025

Kênh truyền thông đa phương tiện Fox News tại Mỹ đưa ra cảnh báo về phương thức lừa đảo trực tuyến mới thông qua tin nhắn email giả mạo dịch vụ an ninh và bảo mật của Windows. Mục đích của kẻ tấn công là chiếm quyền điều khiển máy tính của nạn nhân thông qua phần mềm điều khiển từ xa để đánh cắp dữ liệu.

Mạo danh doanh nghiệp bưu chính, giả mạo dịch vụ bảo mật để lừa đảo

13:00 | 13/01/2025

Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.

10 cuộc tấn công mạng nguy hiểm nhất năm 2024

09:00 | 30/12/2024

Năm 2024, các cuộc tấn công mạng diễn ra trên mọi lĩnh vực, từ y tế đến tài chính, ngân hàng.... Tin tặc không chỉ đánh cắp dữ liệu cá nhân, mà còn thực hiện các cuộc tấn công ransomware tinh vi, đe dọa trực tiếp đến sự hoạt động của các cơ sở y tế. Nguy hiểm hơn là sự tinh vi và quy mô ngày càng tăng của các cuộc tấn công gián điệp của tin tặc Trung Quốc nhằm vào Hoa Kỳ và các đồng minh. Các chuyên gia tin rằng đây là một động thái chiến lược của Bắc Kinh nhằm có khả năng phá vỡ hoặc phá hủy các dịch vụ quan trọng trong trường hợp căng thẳng địa chính trị leo thang hoặc xung đột quân sự.

Cảnh báo đánh cắp tiền mã hóa thông qua Telegram

08:00 | 22/12/2024

Trang web chuyên đăng tải các bài báo về phòng chống lừa đảo mạng Scam Sniffer cho biết, trong thời gian gần đây kẻ tấn công đã cài phần mềm chứa mã độc vào các trang web giả mạo được lập ra với mục đích để xác thực tài khoản Telegram của người dùng.