Ảnh minh họa

Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky vừa ghi nhận hoạt động mới của nhóm tin tặc APT BlueNoroff - một nhánh thuộc nhóm tội phạm mạng Lazarus khét tiếng - thông qua hai chiến dịch tấn công có chủ đích mang tên GhostCall và GhostHire. Hai chiến dịch này nhắm vào các tổ chức Web3 và lĩnh vực tiền mã hóa tại Ấn Độ, Thổ Nhĩ Kỳ, Úc cùng nhiều quốc gia châu Âu và châu Á, và đã âm thầm diễn ra ít nhất từ tháng 4/2025.

Theo phân tích, GhostCall và GhostHire sử dụng các kỹ thuật xâm nhập mới kết hợp với phần mềm độc hại được thiết kế riêng, nhằm thâm nhập hệ thống của các nhà phát triển và tấn công vào doanh nghiệp, tổ chức hoạt động trong lĩnh vực blockchain để trục lợi tài chính. Các cuộc tấn công chủ yếu nhắm vào hai hệ điều hành macOS và Windows, được điều phối thông qua một hạ tầng chỉ huy – điều khiển thống nhất.

Cách thức tấn công của chiến dịch GhostCall

Với chiến dịch GhostCall, mục tiêu chính là các thiết bị chạy macOS. Tin tặc tiếp cận nạn nhân qua Telegram, giả danh nhà đầu tư mạo hiểm, thậm chí chiếm quyền điều khiển các tài khoản của doanh nhân, nhà sáng lập startup có thật để đề xuất cơ hội hợp tác, rót vốn.

Sau đó, nạn nhân được mời tham gia “cuộc họp đầu tư” trên các trang web giả mạo, được thiết kế sao chép giao diện của những nền tảng họp trực tuyến như Zoom hoặc Microsoft Teams. Trong cuộc họp, kẻ tấn công yêu cầu nạn nhân “cập nhật ứng dụng để sửa lỗi âm thanh”, nhưng thực chất là buộc thiết bị tải đoạn mã độc và kích hoạt phần mềm gián điệp.

Chiến dịch GhostHire lại nhắm tới các nhà phát triển blockchain thông qua hình thức giả danh nhà tuyển dụng. Nạn nhân được gửi lời mời làm bài kiểm tra kỹ năng và bị lừa tải, chạy một kho GitHub chứa mã độc được ngụy trang dưới dạng bài test. Khi người dùng mở và thực thi nội dung này, mã độc sẽ tự động cài lên máy, được tùy chỉnh để phù hợp với hệ điều hành mà nạn nhân đang sử dụng.

Cách thức tấn công của chiến dịch GhostCall

Trước các thủ đoạn trên, Kaspersky khuyến nghị người dùng cần thận trọng với mọi lời mời chào hấp dẫn hoặc đề xuất đầu tư bất ngờ. Việc xác minh kỹ danh tính của mọi liên hệ mới là rất quan trọng, đặc biệt khi họ tiếp cận thông qua Telegram, LinkedIn hoặc các nền tảng mạng xã hội.

Đồng thời, người dùng nên ưu tiên sử dụng các kênh liên lạc nội bộ đã được xác thực và bảo mật cho mọi trao đổi chứa thông tin nhạy cảm, luôn tính đến khả năng tài khoản của người quen đã bị chiếm quyền. Bên cạnh đó, cần tuyệt đối tránh chạy các đoạn mã hoặc lệnh không rõ nguồn gốc chỉ với lý do “khắc phục lỗi” để không vô tình mở đường cho mã độc xâm nhập thiết bị.

Khôi Nguyên