Theo công ty bảo mật blockchain CertiK, nhóm Lazarus của Triều Tiên đã phát động một chiến dịch phần mềm độc hại macOS mới có tên Mach-O Man, sử dụng lời mời họp trực tuyến giả mạo để lừa các giám đốc điều hành trong lĩnh vực tiền mã hóa và công nghệ tài chính thực thi các lệnh độc hại trên thiết bị của họ.
Theo Natalie Newson, nhà nghiên cứu bảo mật blockchain cấp cao tại CertiK, nhóm Lazarus của Triều Tiên đang thực hiện một chiến dịch mới có tên Mach-O Man, nhắm mục tiêu vào các giám đốc điều hành tại các công ty tiền mã hóa, công nghệ tài chính và các công ty có giá trị cao khác bằng cách ngụy trang việc phát tán phần mềm độc hại thành một bản vá kỹ thuật thông thường trong một cuộc họp kinh doanh giả mạo. Chiến dịch này được tiết lộ vào ngày 22 tháng 4 và đại diện cho một trong những phương pháp tấn công phi kỹ thuật tinh vi nhất từ trước đến nay của nhóm.
Chuỗi tấn công bắt đầu bằng một lời mời họp khẩn cấp được gửi qua Telegram, mạo danh một cuộc gọi Zoom, Microsoft Teams hoặc Google Meet. Liên kết dẫn đến một trang web giả mạo nhưng rất thuyết phục, hướng dẫn nạn nhân dán một lệnh duy nhất vào terminal máy Mac của họ để giải quyết vấn đề kết nối rõ ràng, một kỹ thuật được CertiK xác định là ClickFix. Sau khi thực thi, lệnh này sẽ cài đặt một bộ công cụ phần mềm độc hại mô-đun được xây dựng từ các tệp nhị phân Mach-O gốc được tùy chỉnh cho môi trường Apple, có chức năng tạo hồ sơ máy chủ, thiết lập khả năng duy trì truy cập và đánh cắp thông tin đăng nhập cùng dữ liệu trình duyệt thông qua một kênh chỉ huy và kiểm soát dựa trên Telegram. Điều quan trọng là bộ công cụ này sẽ tự động xóa sau khi hoàn thành nhiệm vụ, khiến việc phát hiện và phân tích pháp y trở nên cực kỳ khó khăn. “Các bước xác minh giả mạo này hướng dẫn nạn nhân thông qua các phím tắt chạy một lệnh độc hại,” Newson của CertiK nói với CoinDesk. “Trang web trông thật, các hướng dẫn có vẻ bình thường, và nạn nhân tự mình khởi xướng hành động, đó là lý do tại sao các biện pháp kiểm soát bảo mật truyền thống thường bỏ lỡ nó.”
Không giống như các cuộc tấn công lừa đảo truyền thống dựa vào các tín hiệu khẩn cấp hoặc địa chỉ người gửi đáng ngờ, chiến dịch Mach-O Man được thiết kế để trông hoàn toàn bình thường vào thời điểm được gửi đi. Các giám đốc điều hành trong lĩnh vực tiền mã hóa và công nghệ tài chính thường xuyên nhận được các liên hệ không mong muốn từ các nhà đầu tư, nhà nghiên cứu và đối tác kinh doanh, điều này khiến định dạng lời mời họp giả mạo trở thành một mồi nhử đáng tin cậy theo cách mà lừa đảo chung thường không đạt được. Phân tích của CertiK lưu ý rằng framework Mach-O Man có liên hệ với đơn vị Chollima nổi tiếng của Lazarus và được phân phối qua các tài khoản Telegram bị xâm nhập, nhắm mục tiêu cụ thể vào các tổ chức có giá trị cao trong không gian tài sản kỹ thuật số. Hầu hết nạn nhân sẽ không nhận ra mình đã bị xâm nhập cho đến khi phần mềm độc hại đã tự xóa. Newson nói: “Họ có thể chưa biết điều đó”. “Nếu có, họ có lẽ không thể xác định biến thể nào đã ảnh hưởng đến họ.”
CertiK đã liên kết chiến dịch Mach-O Man với một cuộc tấn công rộng lớn hơn của Lazarus đã hút hơn 500 triệu đô la từ các nền tảng DeFi Drift và KelpDAO trong vòng chưa đầy hai tuần, nâng tổng số tiền bị đánh cắp tích lũy ước tính lên 6,7 tỷ đô la kể từ năm 2017. Liên Hợp Quốc trước đây đã ước tính rằng các hacker Triều Tiên đã đánh cắp vài tỷ đô la tài sản kỹ thuật số để tài trợ cho các chương trình vũ khí của nước này. Newson cho biết: “Điều khiến Lazarus đặc biệt nguy hiểm hiện nay là mức độ hoạt động của họ”. “Đây không phải là tấn công ngẫu nhiên. Đây là một hoạt động tài chính do nhà nước chỉ đạo, hoạt động ở quy mô và tốc độ điển hình của các tổ chức.” CertiK khuyên các chuyên gia tiền mã hóa nên xác minh độc lập tất cả các yêu cầu họp thông qua một kênh riêng biệt trước khi nhấp vào bất kỳ liên kết nào hoặc tải xuống bất kỳ tệp đính kèm nào từ một lời mời không được yêu cầu.
CertiK đã chia sẻ các chỉ số về sự xâm nhập liên quan đến chiến dịch Mach-O Man với cộng đồng bảo mật rộng lớn hơn để hỗ trợ các nỗ lực phát hiện và phòng thủ trên toàn ngành.
