Nhóm tin tặc này thường dụ dỗ nạn nhân bằng những lời mời làm việc giả mạo cho các dự án tiền điện tử, du lịch hoặc tài chính, hứa hẹn là những công việc có thể làm việc từ xa, linh hoạt và mức lương tốt trong khi vẫn giữ bí mật thông tin.
Chúng yêu cầu nạn nhân liên kết CV hoặc GitHub để thu thập dữ liệu cá nhân và làm cho kế hoạch có vẻ hợp pháp để lấy lòng tin của nạn nhân. Sau đó, chúng chia sẻ một dự án giả mạo có chứa mã độc ẩn, yêu cầu nạn nhân chạy bản demo và tải các tập lệnh có hại từ nguồn của bên thứ ba.
Cụ thể, kẻ tấn công chia sẻ một kho lưu trữ với MVP và một tài liệu yêu cầu thực thi với các câu hỏi chỉ có thể được trả lời bằng cách thực hiện bản demo. Thoạt nhìn thì chúng có vẻ vô hại nhưng ẩn chứa trong đó là một tập lệnh được che giấu chứa phần mềm độc hại.
Yêu cầu trả lời các câu hỏi chỉ có thể được trả lời bằng cách thực hiện bản demo
Phần mềm độc hại này có thể nhắm mục tiêu vào các hệ điều hành Windows, MacOS và Linux, cho phép kẻ tấn công nhắm mục tiêu vào các ví tiền điện tử phổ biến bằng cách tìm kiếm các tiện ích mở rộng duyệt web liên quan đến tiền điện tử. Không chỉ vậy, phần mềm độc hại này cũng đánh cắp dữ liệu trình duyệt và thông tin đăng nhập, sau đó triển khai các tải trọng dựa trên Python và .NET để ghi lại phím, theo dõi các thay đổi nội dung bảng tạm, do thám hệ thống, khai thác tiền điện tử và liên lạc C2 liên tục qua Tor và IP do kẻ tấn công kiểm soát
Các nhà nghiên cứu cho biết chiến dịch này được nhóm tin tặc Lazarus thực hiện dựa trên phân tích phần mềm độc hại và chiến thuật hoạt động. Nhóm tin tặc này trước đây đã từng tham gia vào một chiến dịch sử dụng các lời mời làm việc độc hại và đơn xin việc giả mạo.
“Mục tiêu của chúng không chỉ là đánh cắp dữ liệu cá nhân. Bằng cách nhắm mục tiêu vào những người làm việc trong các lĩnh vực như hàng không, quốc phòng và công nghiệp hạt nhân, chúng nhắm đến việc đánh cắp thông tin mật, công nghệ độc quyền và thông tin xác thực của công ty. Trong trường hợp này, việc thực thi phần mềm độc hại trên các thiết bị doanh nghiệp có thể cấp cho kẻ tấn công quyền truy cập vào dữ liệu nhạy cảm của công ty, làm gia tăng thiệt hại” báo cáo của Bitdefender kết luận.
Các chuyên gia đã quan sát thấy rằng cùng một tác nhân đe dọa đã cố gắng xâm nhập vào nhiều công ty khác nhau bằng cách làm giả danh tính và nộp đơn xin việc cho nhiều vị trí khác nhau, nhằm mục đích đánh cắp thông tin cá nhân, thông tin xác thực và công nghệ của công ty.
Quốc Trường
21:00 | 26/01/2025
22:00 | 31/01/2025
17:00 | 28/01/2025
09:00 | 24/02/2025
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-32838 có đểm CVSS 9,4 được phát hiện trong Apache Fineract, nền tảng mã nguồn mở phổ biến được sử dụng để xây dựng hệ thống ngân hàng lõi cho các dịch vụ tài chính số.
08:00 | 29/01/2025
Một chiến thuật tấn công mới đang được tin tặc sử dụng thông qua cách thức "giả mạo mô phỏng giao dịch" để đánh cắp tiền điện tử, mới đây trên ScamSniffer (trang web chuyên đăng tải các bài báo về phòng, chống lừa đảo mạng) đã công bố một vụ tấn công sử dụng hình thức này gât thiệt hại 143,45 Ethereum (ETH) với trị giá khoảng 460.000 USD.
17:00 | 28/01/2025
Nhóm tin tặc người Nga Star Blizzard được cho là có liên quan đến một chiến dịch lừa đảo trực tuyến mới nhắm vào tài khoản WhatsApp của nạn nhân, đánh dấu sự thay đổi so với phương thức tấn công lâu đời của nhóm này nhằm mục đích tránh bị phát hiện.
14:00 | 24/01/2025
Một lỗ hổng mới trong cơ chế UEFI Secure Boot, được theo dõi với mã CVE-2024-7344, đã được phát hiện, cho phép kẻ tấn công triển khai bootkit ngay cả khi Secure Boot đang được kích hoạt.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
