Hacker Triều Tiên dùng “Zoom giả” để đánh cắp crypto: Mối đe dọa diễn ra hằng ngày

Một hình thức tấn công mới nhắm vào cộng đồng tiền mã hóa đang gia tăng với tần suất đáng báo động. Theo Tổ chức phi lợi nhuận về an ninh mạng Security Alliance (SEAL), các nhóm hacker có liên quan đến Triều Tiên hiện đang thực hiện nhiều vụ lừa đảo mỗi ngày bằng cách sử dụng các cuộc gọi Zoom giả mạo nhằm cài mã độc và đánh cắp tài sản số.

Nhà nghiên cứu bảo mật Taylor Monahan cảnh báo rằng phương thức này đã gây thiệt hại hơn 300 triệu USD, chủ yếu đến từ việc đánh cắp private key, mật khẩu và quyền kiểm soát tài khoản Telegram của nạn nhân.

Cách thức hoạt động của chiêu trò “Zoom giả”

Theo Monahan, vụ lừa đảo thường bắt đầu bằng một tin nhắn Telegram từ tài khoản của người quen – vốn đã bị hacker kiểm soát từ trước. Điều này khiến nạn nhân mất cảnh giác và dễ dàng đồng ý tham gia một cuộc gọi Zoom để “trao đổi công việc” hoặc “cập nhật nhanh”.

Trước thời điểm cuộc gọi diễn ra, hacker sẽ gửi một đường link Zoom được ngụy trang giống hệt link thật. Trong phòng họp, nạn nhân có thể nhìn thấy người quen cùng một số “đồng nghiệp” khác.

Điều đáng chú ý là các video này không phải deepfake, mà là video ghi hình thật được lấy từ các buổi họp trước đó, podcast công khai hoặc từ các nạn nhân đã từng bị hack.

File “sửa lỗi âm thanh” chính là mã độc

Khi cuộc gọi bắt đầu, hacker sẽ giả vờ gặp sự cố âm thanh và đề nghị nạn nhân tải về một file “vá lỗi” (patch file). Ngay khi file này được mở, mã độc sẽ được cài vào thiết bị, cho phép hacker toàn quyền truy cập dữ liệu nhạy cảm.

Sau đó, kẻ tấn công sẽ kết thúc cuộc gọi với lý do “dời lịch sang hôm khác” để tránh bị nghi ngờ. Tuy nhiên, ở thời điểm đó, thiết bị của nạn nhân đã bị xâm nhập hoàn toàn.

“Họ sẽ lấy toàn bộ crypto, mật khẩu, dữ liệu công ty, tài khoản Telegram — và sau đó dùng chính tài khoản của bạn để lừa tiếp bạn bè của bạn,” Monahan cảnh báo.

Telegram trở thành công cụ lây lan tiếp theo

Một trong những mục tiêu quan trọng của hacker là chiếm quyền kiểm soát Telegram. Khi đã vào được tài khoản, chúng sẽ sử dụng danh bạ có sẵn để tiếp cận các nạn nhân mới, tạo thành chuỗi lây nhiễm theo mạng lưới quan hệ.

SEAL cho biết đây chính là lý do khiến hình thức tấn công này lan rộng nhanh chóng và khó kiểm soát.

Cần làm gì nếu đã bấm vào link độc hại?

Taylor Monahan khuyến cáo rằng nếu nghi ngờ đã tham gia một cuộc gọi Zoom đáng ngờ hoặc tải file lạ, người dùng cần hành động ngay lập tức:

1. Ngắt kết nối WiFi và tắt thiết bị bị nhiễm
2. Dùng thiết bị khác để chuyển toàn bộ crypto sang ví mới
3. Đổi tất cả mật khẩu, bật xác thực hai yếu tố (2FA)
4. Reset hoàn toàn (wipe) bộ nhớ thiết bị trước khi sử dụng lại
5. Bảo mật Telegram: đăng xuất mọi phiên, đổi mật khẩu, bật xác thực đa yếu tố
6. Thông báo ngay cho bạn bè và đối tác nếu Telegram bị hack để tránh lây lan

“Hãy bỏ qua sự ngại ngùng và cảnh báo mọi người càng sớm càng tốt. Nếu không, chính bạn sẽ vô tình trở thành công cụ để hacker tấn công bạn bè mình,” Monahan nhấn mạnh.

Lời cảnh báo cho cộng đồng crypto

Trong bối cảnh ngành crypto ngày càng gắn liền với làm việc từ xa, các cuộc gọi trực tuyến đã trở thành thói quen. Điều này cũng vô tình mở ra cơ hội cho các cuộc tấn công xã hội tinh vi hơn.

SEAL khuyến cáo người dùng không bao giờ tải file trong lúc đang gọi, xác minh kỹ link họp và ưu tiên sử dụng các thiết bị riêng biệt cho quản lý tài sản số.