Darktrace cảnh báo về các trò lừa đảo kỹ thuật xã hội triển khai phần mềm độc hại đánh cắp tiền điện tử

Các nhà nghiên cứu tại công ty an ninh mạng Darktrace đã cảnh báo rằng các tác nhân đe dọa đang sử dụng các chiến thuật kỹ thuật xã hội ngày càng tinh vi để lừa đảo nạn nhân cài đặt phần mềm độc hại đánh cắp tiền điện tử.

Trong blog mới nhất của mình, các nhà nghiên cứu của Darktrace đã mô tả một chiến dịch tinh vi trong đó những kẻ lừa đảo được phát hiện đang mạo danh các công ty khởi nghiệp AI, trò chơi và Web3 để đánh lừa người dùng tải xuống phần mềm độc hại.

Kế hoạch dựa vào các tài khoản X đã được xác minh và đã bị xâm phạm, cũng như tài liệu dự án được lưu trữ trên các nền tảng hợp pháp, để tạo ra ấn tượng về tính hợp pháp.

Theo báo cáo, chiến dịch thường bắt đầu với việc những kẻ mạo danh tiếp cận các nạn nhân tiềm năng trên X, Telegram hoặc Discord. Giả vờ là đại diện của các startup mới nổi, họ cung cấp các ưu đãi như thanh toán bằng tiền điện tử để đổi lấy việc thử nghiệm phần mềm.

Nạn nhân sau đó được hướng đến các trang web công ty tinh xảo được thiết kế để bắt chước các công ty khởi nghiệp hợp pháp, với đầy đủ tài liệu trắng, lộ trình, các mục trên GitHub, và thậm chí cả các cửa hàng hàng hóa giả.

Khi một mục tiêu tải xuống ứng dụng độc hại, một màn hình xác minh Cloudflare xuất hiện, trong đó phần mềm độc hại lén lút thu thập thông tin hệ thống như chi tiết CPU, địa chỉ MAC và ID người dùng. Thông tin này, cùng với một mã CAPTCHA, được gửi đến máy chủ của kẻ tấn công để xác định xem hệ thống có phải là một mục tiêu khả thi hay không.

Nếu quá trình xác minh thành công, một payload giai đoạn hai, thường là phần mềm độc hại lấy thông tin, sẽ được gửi một cách lén lút, sau đó trích xuất dữ liệu nhạy cảm, bao gồm thông tin đăng nhập ví tiền điện tử.

Cả phiên bản Windows và macOS của phần mềm độc hại đã được phát hiện, với một số biến thể Windows được biết đến là sử dụng chứng chỉ ký mã bị đánh cắp từ các công ty hợp pháp.

Theo Darktrace, chiến dịch này giống với các chiến thuật được sử dụng bởi các nhóm "traffer", là các mạng tội phạm mạng chuyên tạo ra các cài đặt phần mềm độc hại thông qua nội dung lừa đảo và thao túng mạng xã hội.

Trong khi các tác nhân đe dọa vẫn chưa được xác định, các nhà nghiên cứu tin rằng các phương pháp được sử dụng phù hợp với những gì đã thấy trong các chiến dịch được gán cho CrazyEvil, một nhóm nổi tiếng với việc nhắm mục tiêu vào các cộng đồng liên quan đến tiền điện tử.

“CrazyEvil và các nhóm con của họ tạo ra các công ty phần mềm giả, tương tự như những cái được mô tả trong blog này, sử dụng Twitter và Medium để nhắm đến các nạn nhân,” Darktrace viết, thêm rằng nhóm này ước tính đã kiếm được “hàng triệu đô la doanh thu từ hoạt động độc hại của họ.”

Một mối đe dọa lặp đi lặp lại

Các chiến dịch phần mềm độc hại tương tự đã được phát hiện nhiều lần trong suốt năm nay, với một chiến dịch liên quan đến Bắc Triều Tiên được phát hiện đang sử dụng các bản cập nhật giả của Zoom để xâm phạm các thiết bị macOS tại các công ty tiền điện tử.

Các kẻ tấn công được cho là đã triển khai một biến thể phần mềm độc hại mới có tên gọi "NimDoor," được cung cấp thông qua một bản cập nhật SDK độc hại. Tải trọng đa giai đoạn này được thiết kế để trích xuất thông tin xác thực ví, dữ liệu trình duyệt và các tệp Telegram được mã hóa trong khi duy trì tính bền vững trên hệ thống.

Trong một trường hợp khác, nhóm tin tặc khét tiếng của Triều Tiên Lazarus đã bị phát hiện đang giả mạo là những nhà tuyển dụng để nhắm mục tiêu vào các chuyên gia không nghi ngờ bằng cách sử dụng một chủng phần mềm độc hại mới có tên "OtterCookie," được triển khai trong các buổi phỏng vấn giả.

Vào đầu năm nay, một nghiên cứu riêng biệt của công ty điều tra blockchain Merkle Science đã phát hiện ra rằng các trò lừa đảo kỹ thuật xã hội chủ yếu nhằm vào người nổi tiếng và các nhà lãnh đạo công nghệ thông qua các tài khoản X bị hack.