BlueNoroff phát triển phần mềm độc hại mới tấn công máy tính MacOS để đánh cắp tiền mã hóa từ các công ty và cá nhân.
Nhóm tin tặc khét tiếng BlueNoroff, được cho là có liên hệ với Triều Tiên, đang triển khai chiến dịch phần mềm độc hại mới nhắm vào các công ty và cá nhân hoạt động trong lĩnh vực tiền mã hóa. Theo báo cáo từ SentinelLabs, chiến dịch phần mềm độc hại có tên mã “Hidden Risk”, sử dụng các tệp PDF độc hại được ngụy trang dưới dạng tin tức giả mạo và nghiên cứu thị trường tiền mã hóa để lừa người dùng tải xuống. Điều đáng chú ý là chiến dịch trên đặc biệt nhắm vào hệ điều hành MacOS, cho thấy sự tinh vi ngày càng tăng của nhóm tin tặc này.
BlueNoroff, một nhánh của nhóm Lazarus, đã được Cục Điều tra Liên bang Mỹ (FBI) và Cơ quan An ninh Mạng và Cơ sở Hạ tầng (CISA) cảnh báo nhiều lần kể từ năm 2019. Nhóm này nổi tiếng với các cuộc tấn công mạng tinh vi nhắm vào các tổ chức tài chính, đặc biệt là trong lĩnh vực tiền mã hóa.
Mánh khóe tinh vi và mục tiêu rõ ràng
Chiến dịch “Hidden Risk” hoạt động theo cơ chế đa giai đoạn. Đầu tiên, nạn nhân bị dụ dỗ tải xuống một tệp PDF có vẻ hợp pháp. Trong quá trình này, một tệp PDF giả mạo sẽ được hiển thị, trong khi phần mềm độc hại thực sự được tải xuống âm thầm trong nền. Phần mềm độc hại trên cho phép tin tặc truy cập từ xa vào máy tính của nạn nhân, từ đó đánh cắp thông tin nhạy cảm, bao gồm cả khóa cá nhân của ví tiền mã hóa và nền tảng giao dịch.
FBI và CISA đã đưa ra cảnh báo về các hoạt động của BlueNoroff và Lazarus vào tháng 4/2022, khuyến nghị các công ty tiền mã hóa tăng cường biện pháp bảo mật. Tuy nhiên, bất chấp những cảnh báo, BlueNoroff vẫn tiếp tục hoạt động mạnh mẽ. Vào tháng 12/2022, nhóm này đã thực hiện một chiến dịch lừa đảo khác sử dụng hơn 70 tên miền giả mạo để mạo danh các công ty đầu tư mạo hiểm, nhằm xâm nhập vào hệ thống của nạn nhân và đánh cắp tiền.
Gần đây nhất, vào tháng 9/2024, FBI lại cảnh báo về các hoạt động lừa đảo của Lazarus, sử dụng mạng xã hội để nhắm mục tiêu vào nhân viên của các sàn giao dịch tiền mã hóa tập trung và các công ty tài chính phi tập trung. Phương thức này tập trung vào việc xây dựng mối quan hệ và lòng tin với nạn nhân trước khi gửi cho họ các liên kết độc hại được ngụy trang dưới dạng bài kiểm tra hoặc đơn ứng tuyển.