Nhóm Lazarus, một nhóm hacker có liên kết với Triều Tiên, đã phát triển chiến thuật của mình để nhắm tới những người tìm việc trong lĩnh vực tiền điện tử, đặc biệt là trong tài chính tập trung (CeFi), bằng một phương pháp gọi là 'ClickFix.' Cách tiếp cận mới này là sự điều chỉnh từ chiến dịch 'Contagious Interview' trước đây của họ, giờ đây tập trung vào các vị trí không yêu cầu kỹ thuật như marketing và phát triển kinh doanh bằng cách giả mạo các công ty tiền điện tử lớn. Nhóm này tạo ra các cổng thông tin ứng tuyển giả để thu hút ứng viên, thúc đẩy họ chạy các lệnh PowerShell dưới vỏ bọc khắc phục sự cố, điều này đã tải xuống mã độc. Chiến thuật này khai thác những khát vọng nghề nghiệp của các cá nhân trong thị trường việc làm tiền điện tử. Thêm vào đó, FBI đã quy trách nhiệm cho một cuộc tấn công trị giá 1,5 tỷ USD vào Bybit cho Lazarus, trong đó các lời mời làm việc giả đã được sử dụng để cài đặt mã độc vào máy tính của nhân viên.

SEKOIA

Một báo cáo an ninh mạng gần đây của Sekoia đã tiết lộ một mối đe dọa đang phát triển do Nhóm Lazarus, nhóm hacker nổi tiếng có liên kết với Triều Tiên gây ra. Hiện tại, họ đang tận dụng một chiến thuật được gọi là “ClickFix” để nhắm đến những người tìm việc trong lĩnh vực tiền điện tử, đặc biệt là trong tài chính tập trung (CeFi).Cách tiếp cận này đánh dấu một sự thích ứng của chiến dịch “Phỏng Vấn Lây Lan” trước đó của nhóm, vốn từng nhằm vào các lập trình viên và kỹ sư trong các vai trò liên quan đến trí tuệ nhân tạo và tiền điện tử.<h2>Lazarus Khai Thác Tuyển Dụng Tiền Điện Tử</h2>Trong chiến dịch mới được quan sát, Lazarus đã chuyển trọng tâm sang các chuyên gia không kỹ thuật, chẳng hạn như nhân viên marketing và phát triển kinh doanh, bằng cách giả mạo các công ty tiền điện tử lớn như Coinbase, KuCoin, Kraken, và ngay cả nhà phát hành stablecoin Tether.Các kẻ tấn công xây dựng các trang web giả mạo giống như cổng thông tin ứng tuyển và lừa đảo các ứng viên bằng những lời mời phỏng vấn giả. Những trang web này thường bao gồm các mẫu đơn xin việc thực tế và thậm chí yêu cầu video giới thiệu, tạo cảm giác hợp pháp.Tuy nhiên, khi một người dùng cố gắng ghi lại video, họ sẽ thấy một thông báo lỗi giả mạo, thường gợi ý rằng có sự cố với webcam hoặc driver. Trang sau đó sẽ yêu cầu người dùng chạy các lệnh PowerShell dưới hình thức khắc phục sự cố, từ đó kích hoạt việc tải xuống phần mềm độc hại.Phương pháp ClickFix này, mặc dù tương đối mới, đang trở nên phổ biến hơn do tính đơn giản về tâm lý – vì người dùng tin rằng họ đang giải quyết một vấn đề kỹ thuật, chứ không phải thực thi mã độc hại. Theo Sekoia, chiến dịch này dựa trên tài liệu từ 184 lời mời phỏng vấn giả, tham chiếu ít nhất 14 công ty nổi bật để tăng cường độ tin cậy.Do đó, chiến thuật mới nhất thể hiện sự tinh vi ngày càng tăng của Lazarus trong việc kỹ thuật xã hội và khả năng khai thác những khát vọng nghề nghiệp của những cá nhân trong thị trường việc làm tiền điện tử cạnh tranh. Thú vị thay, sự thay đổi này cũng cho thấy nhóm đang mở rộng tiêu chí mục tiêu của mình bằng cách không chỉ nhắm đến những người có quyền truy cập vào mã hoặc cơ sở hạ tầng mà còn cả những người có thể xử lý dữ liệu nội bộ nhạy cảm hoặc có khả năng vô tình tạo điều kiện cho các vi phạm.Mặc dù phương pháp ClickFix xuất hiện, Sekoia báo cáo rằng chiến dịch Phỏng Vấn Lây Lan ban đầu vẫn đang hoạt động. Việc triển khai song song các chiến lược này gợi ý rằng tập thể được nhà nước Triều Tiên tài trợ có thể đang thử nghiệm hiệu quả tương đối của chúng hoặc điều chỉnh các chiến thuật để phù hợp với các nhóm mục tiêu khác nhau. Trong cả hai trường hợp, các chiến dịch đều chia sẻ một mục tiêu nhất quán – cung cấp phần mềm độc hại đánh cắp thông tin qua các kênh tin cậy và thao túng nạn nhân để tự lây nhiễm.<h2>Lazarus Đứng Sau Cuộc Tấn Công Bybit</h2>Cục Điều Tra Liên Bang (FBI) chính thức quy trách nhiệm cuộc tấn công trị giá 1,5 tỷ USD vào Bybit cho Nhóm Lazarus. Các hacker nhắm vào sàn giao dịch tiền điện tử đã sử dụng các lời mời công việc giả để lừa gạt nhân viên cài đặt phần mềm giao dịch bị nhiễm độc được gọi là “TraderTraitor.”Mặc dù được thiết kế để trông giống như thật thông qua phát triển JavaScript và Node.js đa nền tảng, các ứng dụng này đã nhúng phần mềm độc hại được thiết kế để đánh cắp khóa riêng và thực hiện các giao dịch bất hợp pháp trên blockchain.

Nhóm Lazarus Nhắm đến Người Tìm Việc CeFi với Phần Mềm Độc Hại 'ClickFix'