Mã hack crypto nhắm vào 13 loại ví, lây lan qua việc làm trên web3 giả
Tại sao tin tưởng Cryptonews
Thông báo quảng cáo
Cung cấp thông tin chính xác, minh bạch và trung thực là nguyên tắc ưu tiên hàng đầu của chúng tôi. Một số nội dung của chúng tôi có các liên kết từ đối tác với hoa hồng đi kèm nhưng chúng tôi cam kết việc này không có ảnh hưởng tới tính minh bạch, tới chất lượng của bài viết.
Cảnh giác với những kẻ tuyển dụng Web3 giả mạo có liên quan đến Triều Tiên! Chúng đang giăng bẫy những người tìm việc trực tuyến, đặc biệt là những người quan tâm đến lĩnh vực công nghệ blockchain và tiền điện tử.
Bọn tội phạm này thường giả danh nhà tuyển dụng từ các công ty Web3 nổi tiếng, tiếp cận người tìm việc trên các nền tảng như LinkedIn hoặc các trang web tuyển dụng. Sau đó, chúng lừa nạn nhân tải xuống phần mềm độc hại được ngụy trang dưới dạng ứng dụng gọi video, với lý do cần phỏng vấn trực tuyến.
Thực chất, phần mềm này là một loại mã độc tinh vi, có khả năng đánh cắp tiền điện tử từ ít nhất 13 loại ví khác nhau, bao gồm MetaMask, BNB Chain, Exodus và nhiều loại ví phổ biến khác. Một khi đã bị nhiễm mã độc, toàn bộ số tiền điện tử trong ví của bạn có thể bị đánh cắp, và việc khôi phục tài sản sẽ vô cùng khó khăn.
Theo báo cáo mới nhất từ nhóm chuyên gia an ninh mạng Unit 42 của công ty Palo Alto Networks, loại mã độc này nhắm mục tiêu vào cả người dùng Windows và macOS. Các chuyên gia tin rằng những kẻ tấn công này đến từ Triều Tiên và có động cơ tài chính, nhằm hỗ trợ cho chế độ của quốc gia này.
Để bảo vệ bản thân, hãy luôn cảnh giác với các lời mời làm việc đến từ những người không quen biết. Hãy tìm hiểu kỹ về công ty tuyển dụng, kiểm tra kỹ địa chỉ email và thông tin liên lạc của họ.
Tuyệt đối không tải xuống phần mềm từ các nguồn không đáng tin cậy, đặc biệt là thông qua các liên kết được gửi qua email hoặc tin nhắn. Hãy nhớ rằng, các công ty Web3 uy tín sẽ không bao giờ yêu cầu bạn tải xuống phần mềm không rõ nguồn gốc để tham gia phỏng vấn.
Nó hoạt động ra sao?
Trong thời đại công nghệ số hiện nay, việc tìm kiếm việc làm trực tuyến đã trở nên phổ biến hơn bao giờ hết. Tuy nhiên, điều này cũng đồng nghĩa với việc người tìm việc, đặc biệt là các lập trình viên, đang phải đối mặt với nhiều nguy cơ tiềm ẩn từ các cuộc tấn công mạng tinh vi.
Hello, my complaint needs blockchain developers, those who are interested should message me or review the job posting in my profile!
— Onder Kayabasi (@OnderKayabasi) June 9, 2024
Gần đây, một chiêu trò lừa đảo mới đã được phát hiện, nhắm mục tiêu vào các lập trình viên đang tìm kiếm cơ hội việc làm trong lĩnh vực công nghệ. Bọn tội phạm mạng thường giả danh nhà tuyển dụng, tiếp cận các ứng viên tiềm năng thông qua các nền tảng tìm kiếm việc làm phổ biến như LinkedIn, GitHub, TopCV… với những lời mời chào hấp dẫn.
Chiêu thức hoạt động như sau:
- Tiếp cận “con mồi”: Kẻ tấn công thường tạo các hồ sơ giả mạo trên các nền tảng tìm kiếm việc làm, giả danh nhà tuyển dụng từ các công ty công nghệ uy tín. Chúng sẽ chủ động tìm kiếm và liên hệ với các lập trình viên có kỹ năng phù hợp với yêu cầu công việc.
- Giăng bẫy: Sau khi tiếp cận, chúng sẽ bắt đầu trò chuyện, trao đổi thông tin về công việc, tạo dựng mối quan hệ và sự tin tưởng với nạn nhân. Bọn chúng thường tỏ ra rất chuyên nghiệp, am hiểu về lĩnh vực công nghệ, thậm chí có thể gửi các tài liệu giả mạo về công ty, dự án, hợp đồng lao động… để đánh lừa nạn nhân.
- Gài bẫy phần mềm độc hại: Khi đã tạo dựng được lòng tin, kẻ tấn công sẽ mời nạn nhân tham gia phỏng vấn trực tuyến. Để thực hiện cuộc gọi video, chúng yêu cầu nạn nhân tải xuống và cài đặt một ứng dụng trò chuyện được cung cấp sẵn. Tuy nhiên, ứng dụng này thực chất là phần mềm độc hại được ngụy trang tinh vi.
- Âm thầm “móc túi” nạn nhân: Một khi nạn nhân cài đặt và chạy phần mềm độc hại, nó sẽ hoạt động ngầm trong hệ thống, thu thập dữ liệu cá nhân, thông tin tài khoản ngân hàng, ví điện tử, thậm chí là mã nguồn dự án mà lập trình viên đang phát triển.
Vào tháng 6 năm 2024, một bài viết trên Medium đã cảnh báo về sự xuất hiện của các nhà tuyển dụng giả mạo trên GitHub và LinkedIn Premium. Tác giả Heiner đã chỉ đích danh tài khoản “Onder Kayabasi” là kẻ đã liên hệ với anh ta qua LinkedIn. Mặc dù tài khoản LinkedIn này hiện đã bị xóa, nhưng tài khoản Twitter tương tự vẫn đang hoạt động.
Theo Heiner, những chiến dịch lừa đảo và thao túng tâm lý này “nhằm mục đích lây nhiễm mã độc, đánh cắp thông tin và tiền điện tử, đặc biệt là từ các tài khoản của lập trình viên trong lĩnh vực tiền điện tử, blockchain, an ninh mạng và cá cược trực tuyến”.
Richard Chang, một kỹ sư phần mềm Full Stack, cũng đã từng báo cáo về tài khoản “Onder Kayabasi” là một nhà tuyển dụng giả mạo. Anh ta đã cố tình chạy mã độc trong môi trường ảo “vì bạn không bao giờ nên chạy mã ngẫu nhiên mà bạn không hiểu từ một bên đáng ngờ”. Chang cho biết Kayabasi “đã không hài lòng” khi biết điều này.
Mặc dù “rất nguy hiểm”, nhưng mã độc này “được viết một cách tinh vi đáng ngạc nhiên”, Chang nhận định.
Chiêu trò lừa đảo này là một lời cảnh tỉnh cho các lập trình viên Việt Nam. Để tránh trở thành nạn nhân, hãy luôn cảnh giác, kiểm tra kỹ thông tin của nhà tuyển dụng trước khi tham gia phỏng vấn, và tuyệt đối không tải xuống hoặc cài đặt bất kỳ phần mềm nào từ nguồn không đáng tin cậy. Hãy nhớ rằng, sự cẩn thận và kiến thức về an ninh mạng là “lá chắn” tốt nhất để bảo vệ bản thân trong thế giới kỹ thuật số đầy rẫy nguy hiểm này.
Từ 9 đến 13 ví
Cộng đồng an ninh mạng toàn cầu lại một lần nữa được đặt trong tình trạng báo động khi nhóm hacker bí ẩn có liên hệ với Bắc Triều Tiên tiếp tục chiến dịch tấn công mạng tinh vi mang tên “Phỏng vấn lây nhiễm”.
Chiến dịch này, lần đầu tiên được Đơn vị 42 thuộc Palo Alto Networks phanh phui vào tháng 11 năm 2023, nhắm vào những người tìm việc, đặc biệt là trong lĩnh vực công nghệ, với thủ đoạn giả danh nhà tuyển dụng để lừa nạn nhân cài đặt phần mềm độc hại.
Mặc dù đã bị vạch trần, nhưng nhóm hacker này không hề nao núng mà còn tăng cường hoạt động với những biến thể mới. Các nhà nghiên cứu tại Đơn vị 42 tiếp tục theo dõi sát sao hoạt động của nhóm tội phạm mạng này và phát hiện ra những cập nhật đáng kể cho hai loại mã độc chủ chốt của chúng: BeaverTail và InvisibleFerret.
BeaverTail, một “con ngựa thành Troy” nguy hiểm, vừa đóng vai trò là trình tải xuống vừa là kẻ đánh cắp thông tin.
Nó hoạt động một cách âm thầm, len lỏi vào hệ thống và đánh cắp dữ liệu nhạy cảm như thông tin cá nhân, tài khoản ngân hàng, mật khẩu,… mà không để lại bất kỳ dấu vết nào. Phiên bản mới nhất của BeaverTail, được phát hiện vào tháng 7/2024, cho thấy nhóm hacker này không ngừng nâng cấp vũ khí tấn công của mình, khiến chúng trở nên nguy hiểm hơn bao giờ hết.
InvisibleFerret, một loại cửa hậu tinh vi, cho phép hacker kiểm soát hoàn toàn máy tính của nạn nhân từ xa. Tưởng tượng xem, mọi hoạt động của bạn trên máy tính, từ duyệt web, soạn thảo văn bản, đến giao dịch ngân hàng, đều bị theo dõi và kiểm soát bởi một thế lực vô hình. Đây chính là mối đe dọa đáng sợ mà InvisibleFerret mang lại.
Điều đáng báo động hơn cả là nhóm hacker này đã sử dụng framework đa nền tảng Qt để phát triển mã độc. Qt cho phép chúng tạo ra các phiên bản phần mềm độc hại tương thích với cả hệ điều hành Windows và macOS chỉ với một mã nguồn duy nhất. Nói cách khác, chúng có thể tấn công người dùng trên diện rộng, bất kể họ sử dụng hệ điều hành nào.
Chiến dịch “Phỏng vấn lây nhiễm” là một lời cảnh tỉnh cho tất cả chúng ta, đặc biệt là những người đang tìm kiếm việc làm.
Hãy luôn cảnh giác với những lời mời phỏng vấn từ các công ty không rõ ràng, kiểm tra kỹ địa chỉ email và website của nhà tuyển dụng. Tuyệt đối không tải xuống hoặc cài đặt bất kỳ phần mềm nào từ các nguồn không đáng tin cậy, kể cả khi được yêu cầu trong quá trình phỏng vấn.
Bên cạnh đó, việc cập nhật thường xuyên phần mềm diệt virus và hệ điều hành cũng là một biện pháp phòng ngừa quan trọng. Hãy trang bị cho mình những kiến thức về an ninh mạng để tự bảo vệ mình trước những mối đe dọa ngày càng tinh vi.
Phiên bản BeaverTail mới được viết bằng Qt này không chỉ dừng lại ở việc đánh cắp mật khẩu trình duyệt trên macOS mà còn có khả năng đánh cắp ví tiền điện tử trên cả macOS và Windows.
Báo cáo của Đơn vị 42 nhấn mạnh rằng: “Tính năng này hoàn toàn phù hợp với động cơ tài chính thường thấy của các nhóm hacker Bắc Triều Tiên.”
Đặc biệt đáng lo ngại, phiên bản Qt mới này nhắm mục tiêu đến 13 tiện ích mở rộng ví tiền điện tử khác nhau trên trình duyệt, tăng đáng kể so với con số 9 ví được ghi nhận trước đó. Các nhà nghiên cứu cho biết: “Trong số 13 tiện ích mở rộng hiện tại, những kẻ tấn công đã thêm 5 tiện ích mới và loại bỏ một tiện ích cũ.”
Danh sách các ví tiền điện tử bị nhắm mục tiêu bao gồm những cái tên phổ biến như MetaMask, BNB Chain, Exodus, Phantom, TronLink, Crypto.com, Coin98, Kaikas, Rabby và Argent X – Starknet. Điều này có nghĩa là hàng triệu người dùng tiền điện tử trên toàn thế giới đang đứng trước nguy cơ bị tấn công và mất cắp tài sản.
Thủ đoạn tấn công của nhóm hacker này hết sức tinh vi. Chúng thường giả danh nhà tuyển dụng, tiếp cận các ứng viên xin việc thông qua các nền tảng tìm kiếm việc làm như LinkedIn. Sau đó, chúng sẽ mời nạn nhân tham gia phỏng vấn trực tuyến và lừa họ tải xuống, cài đặt phần mềm độc hại BeaverTail trá hình dưới dạng ứng dụng gọi video hợp pháp.
Một khi đã xâm nhập vào hệ thống, BeaverTail sẽ hoạt động ngầm, đánh cắp thông tin nhạy cảm và mở đường cho InvisibleFerret, một loại cửa hậu cho phép hacker kiểm soát hoàn toàn máy tính của nạn nhân. Từ đó, chúng có thể thực hiện nhiều hành vi nguy hiểm khác như theo dõi hoạt động, đánh cắp dữ liệu, thậm chí là chiếm đoạt tài khoản ngân hàng.
Sau khi BeaverTail hoàn thành nhiệm vụ mở đường, những kẻ tấn công sẽ triển khai cửa hậu InvisibleFerret, một công cụ kiểm soát toàn diện với nhiều thành phần nguy hiểm.
InvisibleFerret không chỉ đơn thuần là một phần mềm độc hại, mà nó giống như một “gián điệp” đa năng với khả năng thu thập dấu vân tay kỹ thuật số, điều khiển thiết bị từ xa, đánh cắp thông tin nhạy cảm và thậm chí là chiếm đoạt toàn bộ dữ liệu trình duyệt.
Nhờ InvisibleFerret, những kẻ tấn công có thể nắm quyền kiểm soát thiết bị của nạn nhân một cách âm thầm và bí mật. Chúng có thể theo dõi mọi hoạt động, đánh cắp dữ liệu quan trọng, thậm chí là thao túng hệ thống mà không bị phát hiện.
Báo cáo của Đơn vị 42 cũng cảnh báo về một nguy cơ nghiêm trọng khác: sự xâm nhập tiềm tàng vào các công ty nơi những người tìm việc đang nhắm đến. “Một cuộc tấn công thành công vào thiết bị của nhân viên có thể dẫn đến việc thu thập và đánh cắp thông tin nhạy cảm của công ty”, các chuyên gia nhấn mạnh.
Hãy thử hình dung, một nhân viên vô tình cài đặt phần mềm độc hại vào máy tính công ty. Những kẻ tấn công có thể lợi dụng điều này để xâm nhập vào hệ thống mạng nội bộ, đánh cắp bí mật kinh doanh, dữ liệu khách hàng, thông tin tài chính,… gây thiệt hại nặng nề cho doanh nghiệp.
Trước những mối đe dọa ngày càng tinh vi này, Đơn vị 42 khuyến cáo các cá nhân và tổ chức cần nâng cao cảnh giác trước các chiến dịch tấn công social engineering (kỹ thuật xã hội) tinh vi. Đồng thời, báo cáo cũng cung cấp một số biện pháp bảo vệ và giảm thiểu rủi ro, bao gồm:
- Cẩn thận khi nhận được lời mời phỏng vấn: Kiểm tra kỹ thông tin nhà tuyển dụng, địa chỉ email, website,… trước khi phản hồi.
- Tuyệt đối không tải xuống hoặc cài đặt phần mềm từ các nguồn không đáng tin cậy: Kể cả khi được yêu cầu trong quá trình phỏng vấn.
- Sử dụng phần mềm diệt virus uy tín và cập nhật thường xuyên: Phần mềm diệt virus sẽ giúp phát hiện và ngăn chặn các mối đe dọa từ phần mềm độc hại.
- Cập nhật hệ điều hành và các ứng dụng: Các bản cập nhật thường chứa các bản vá lỗi bảo mật quan trọng, giúp ngăn chặn các cuộc tấn công.
- Bảo mật thông tin cá nhân: Hạn chế chia sẻ thông tin cá nhân trên mạng xã hội và các nền tảng trực tuyến.
- Đào tạo nhân viên về an ninh mạng: Nâng cao nhận thức của nhân viên về các mối đe dọa an ninh mạng và cách phòng tránh.
Trong thời đại công nghệ số, việc bảo vệ bản thân và tổ chức khỏi các cuộc tấn công mạng là một nhiệm vụ quan trọng và không thể xem nhẹ. Bằng cách áp dụng các biện pháp phòng ngừa hiệu quả, chúng ta có thể giảm thiểu rủi ro và bảo vệ thông tin quan trọng khỏi sự tấn công của tội phạm mạng.
Don't miss out
in numbers
