Các nhà nghiên cứu của công ty phần mềm an ninh mạng và diệt virus Bitdefender (Romania) đã tìm hiểu về nhóm tin tặc Lazarus có liên quan đến Triều Tiên, hiện đang sử dụng một hình thức tấn công mới thông qua các lời mời làm việc giả mạo trên LinkedIn trong lĩnh vực tiền điện tử và du lịch để phát tán phần mềm đánh cắp JavaScript đa nền tảng nhắm vào các ví tiền điện tử.
Nhóm tin tặc này thường dụ dỗ nạn nhân bằng những lời mời làm việc giả mạo cho các dự án tiền điện tử, du lịch hoặc tài chính, hứa hẹn là những công việc có thể làm việc từ xa, linh hoạt và mức lương tốt trong khi vẫn giữ bí mật thông tin.
Chúng yêu cầu nạn nhân liên kết CV hoặc GitHub để thu thập dữ liệu cá nhân và làm cho kế hoạch có vẻ hợp pháp để lấy lòng tin của nạn nhân. Sau đó, chúng chia sẻ một dự án giả mạo có chứa mã độc ẩn, yêu cầu nạn nhân chạy bản demo và tải các tập lệnh có hại từ nguồn của bên thứ ba.
Cụ thể, kẻ tấn công chia sẻ một kho lưu trữ với MVP và một tài liệu yêu cầu thực thi với các câu hỏi chỉ có thể được trả lời bằng cách thực hiện bản demo. Thoạt nhìn thì chúng có vẻ vô hại nhưng ẩn chứa trong đó là một tập lệnh được che giấu chứa phần mềm độc hại.
Yêu cầu trả lời các câu hỏi chỉ có thể được trả lời bằng cách thực hiện bản demo
Phần mềm độc hại này có thể nhắm mục tiêu vào các hệ điều hành Windows, MacOS và Linux, cho phép kẻ tấn công nhắm mục tiêu vào các ví tiền điện tử phổ biến bằng cách tìm kiếm các tiện ích mở rộng duyệt web liên quan đến tiền điện tử. Không chỉ vậy, phần mềm độc hại này cũng đánh cắp dữ liệu trình duyệt và thông tin đăng nhập, sau đó triển khai các tải trọng dựa trên Python và .NET để ghi lại phím, theo dõi các thay đổi nội dung bảng tạm, do thám hệ thống, khai thác tiền điện tử và liên lạc C2 liên tục qua Tor và IP do kẻ tấn công kiểm soát
Các nhà nghiên cứu cho biết chiến dịch này được nhóm tin tặc Lazarus thực hiện dựa trên phân tích phần mềm độc hại và chiến thuật hoạt động. Nhóm tin tặc này trước đây đã từng tham gia vào một chiến dịch sử dụng các lời mời làm việc độc hại và đơn xin việc giả mạo.
“Mục tiêu của chúng không chỉ là đánh cắp dữ liệu cá nhân. Bằng cách nhắm mục tiêu vào những người làm việc trong các lĩnh vực như hàng không, quốc phòng và công nghiệp hạt nhân, chúng nhắm đến việc đánh cắp thông tin mật, công nghệ độc quyền và thông tin xác thực của công ty. Trong trường hợp này, việc thực thi phần mềm độc hại trên các thiết bị doanh nghiệp có thể cấp cho kẻ tấn công quyền truy cập vào dữ liệu nhạy cảm của công ty, làm gia tăng thiệt hại” báo cáo của Bitdefender kết luận.
Các chuyên gia đã quan sát thấy rằng cùng một tác nhân đe dọa đã cố gắng xâm nhập vào nhiều công ty khác nhau bằng cách làm giả danh tính và nộp đơn xin việc cho nhiều vị trí khác nhau, nhằm mục đích đánh cắp thông tin cá nhân, thông tin xác thực và công nghệ của công ty.
Nguồn: Tạp chí ATTT
