Tin tặc Triều Tiên khai thác tính năng Zoom để đánh cắp hàng triệu đô la tiền điện tử

Một chiến dịch tội phạm mạng mới và đáng lo ngại đang nhắm vào các nhà giao dịch và nhà đầu tư tiền điện tử, sử dụng nền tảng hội nghị truyền hình quen thuộc Zoom làm phương tiện tấn công. Các báo cáo từ tổ chức phi lợi nhuận Security Alliance (SEAL) và công ty an ninh mạng Trail of Bits đã vạch trần một hoạt động tinh vi do tin tặc Triều Tiên dàn dựng, nổi tiếng với các cuộc tấn công không ngừng nghỉ vào lĩnh vực tiền điện tử. Chiến dịch này, được gọi là "Sao chổi khó nắm bắt", cho thấy các mối đe dọa kỹ thuật xã hội đã trở nên tinh vi như thế nào—và các công cụ kinh doanh hàng ngày có thể trở thành vũ khí trong tay kẻ xấu như thế nào.

Mồi lừa đảo trá hình dưới dạng cơ hội kinh doanh

Cách tiếp cận của những kẻ tấn công vừa thuyết phục vừa tinh vi. Đóng giả là nhà đầu tư mạo hiểm hoặc người dẫn chương trình podcast, những tin tặc này trước tiên sẽ tiếp cận với những gì có vẻ là đề xuất kinh doanh hợp pháp. Nạn nhân thường được liên hệ thông qua các liên kết Calendly, mời họ lên lịch họp Zoom để thảo luận về khoản đầu tư hoặc sự xuất hiện trên podcast. Giao tiếp ban đầu được thiết kế để xuất hiện như một cơ hội hơn là một mối đe dọa, hạ thấp khả năng phòng thủ của mục tiêu và tạo cảm giác cấp bách bằng cách trì hoãn các chi tiết cuộc họp cho đến phút cuối.

Khi nạn nhân tham gia cuộc gọi Zoom theo lịch trình, những kẻ tấn công sẽ hành động. Chúng yêu cầu nạn nhân chia sẻ màn hình của chúng—một yêu cầu thông thường trong các cuộc thảo luận kinh doanh. Nhưng sau đó, lợi dụng tính năng Điều khiển từ xa của Zoom, tin tặc yêu cầu quyền kiểm soát máy tính của nạn nhân. Một bước ngoặt lừa đảo khiến yêu cầu này thậm chí còn nguy hiểm hơn: những kẻ tấn công đổi tên hiển thị Zoom của chúng thành "Zoom", ngụy trang hộp thoại cấp quyền trông giống như một thông báo hệ thống tiêu chuẩn, vô hại.

Một cú nhấp chuột để thỏa hiệp hoàn toàn

Chỉ một cú nhấp chuột này có thể trao toàn quyền kiểm soát chuột và bàn phím của nạn nhân. Những kẻ tấn công nhanh chóng triển khai phần mềm độc hại đánh cắp thông tin hoặc trojan truy cập từ xa (RAT) để tìm kiếm các phiên trình duyệt, mật khẩu đã lưu, cụm từ hạt giống ví tiền điện tử và các thông tin nhạy cảm khác trên máy. Nhật ký của SEAL ghi nhận "hàng triệu đô la" tiền bị đánh cắp là do các chiến thuật này, lưu ý rằng bọn tội phạm dựa vào mạng lưới các hồ sơ mạng xã hội giả mạo và các trang web được đánh bóng để tạo độ tin cậy cho mánh khóe của chúng.

Trail of Bits đã trực tiếp chứng kiến cuộc tấn công. Tổng giám đốc điều hành của công ty đã nhận được tin nhắn từ các hồ sơ X (trước đây là Twitter) tự nhận là nhà sản xuất của Bloomberg, thúc đẩy mạnh mẽ để có một cuộc phỏng vấn Zoom vào phút chót về tiền điện tử. Khi xem xét kỹ hơn, các liên kết cuộc họp Zoom dẫn đến các tài khoản cấp độ người tiêu dùng, không phải tài khoản công ty hợp pháp. Những kẻ tấn công liên tục từ chối giao tiếp qua email, khăng khăng sử dụng Zoom, nơi chúng có thể triển khai khai thác.

Một tính năng lỗi đã biến thành một vector tấn công

Gốc rễ của cuộc tấn công là tính năng Điều khiển từ xa của Zoom, được thiết kế cho công việc cộng tác nhưng có thể bị lạm dụng nếu người dùng không cảnh giác. Mặc dù máy chủ có thể vô hiệu hóa chức năng này ở cấp độ tài khoản, nhóm hoặc người dùng, nhưng nó thường được bật theo mặc định trong cài đặt của công ty. Hộp thoại cấp quyền không có bất kỳ dấu hiệu phân biệt nào để chỉ ra yêu cầu của bên thứ ba, khiến người dùng dễ bị lừa bởi lời nhắc trông có vẻ thông thường.

Trail of Bits cảnh báo rằng loại tấn công này đặc biệt hiệu quả vì nó dựa vào hành vi của con người, không phải lỗi phần mềm. Nhiều chuyên gia đã quen với việc nhanh chóng chấp thuận thông báo của Zoom và những kẻ tấn công lợi dụng sự quen thuộc này để vượt qua ngay cả các biện pháp phòng thủ của người dùng có kinh nghiệm. Công ty này rút ra một đường thẳng từ chiến dịch này đến các sự cố nổi cộm gần đây, chẳng hạn như vụ hack Bybit trị giá 1,5 tỷ đô la, cũng dựa vào việc thao túng các quy trình làm việc hợp pháp thay vì khai thác các lỗ hổng mã.

Bảo vệ chống lại mối đe dọa từ sao chổi khó nắm bắt

Ý nghĩa rộng hơn là đáng lo ngại: khi ngành công nghiệp blockchain phát triển, những kẻ tấn công đang chuyển trọng tâm từ khai thác kỹ thuật sang lỗ hổng của con người. Bảo mật hoạt động—bảo vệ các quy trình và quyết định của người dùng—đã trở nên quan trọng như việc bảo vệ chống lại các lỗ hổng phần mềm.

Để ứng phó, Trail of Bits đã thực hiện các biện pháp mạnh mẽ, vô hiệu hóa khả năng điều khiển từ xa của Zoom và chặn các quyền truy cập khiến các cuộc tấn công như vậy có thể xảy ra, mà không can thiệp vào việc sử dụng hội nghị truyền hình thông thường. Họ kêu gọi các tổ chức và cá nhân trong lĩnh vực tiền điện tử làm như vậy, xem xét lại cài đặt Zoom của họ và giáo dục người dùng về những nguy hiểm của việc chấp nhận mù quáng các yêu cầu chia sẻ màn hình và điều khiển từ xa.

Với hàng triệu người đã mất và những kẻ tấn công tiếp tục cải tiến phương pháp của chúng, thông điệp rất rõ ràng: không bao giờ coi các công cụ hội nghị truyền hình là không có rủi ro. Nếu bạn giao dịch, đầu tư hoặc làm việc trong ngành tiền điện tử, hãy suy nghĩ kỹ trước khi chấp nhận các yêu cầu họp bất ngờ—và không bao giờ chấp thuận lời nhắc điều khiển từ xa mà không chắc chắn tuyệt đối về tính hợp pháp của nó. Mối đe dọa có thể trông giống như công việc kinh doanh bình thường, nhưng rủi ro chưa bao giờ cao hơn thế.