Hacker giả mạo ứng dụng Zoom để đánh cắp dữ liệu và ví tiền mã hóa

Hacker giả mạo ứng dụng Zoom để thực hiện các cuộc tấn công mạng nhắm vào người dùng và doanh nghiệp tại nhiều quốc gia. Bằng cách tạo ra các phiên bản Zoom giả, tin tặc đánh lừa nạn nhân cài đặt phần mềm độc hại nhằm đánh cắp dữ liệu cá nhân, thông tin đăng nhập và đặc biệt là ví tiền mã hóa. 

1. Cảnh báo hacker giả mạo ứng dụng Zoom để đánh cắp dữ liệu và ví tiền mã hóa

Các chuyên gia an ninh mạng vừa cảnh báo về một chiến dịch tấn công mạng mới sử dụng ứng dụng Zoom giả mạo để đánh cắp dữ liệu người dùng, đặc biệt là ví tiền mã hóa tại nhiều tổ chức ở Bắc Mỹ, châu Âu và khu vực châu Á - Thái Bình Dương.

Chiến dịch này được cho là do nhóm hacker BlueNoroff đứng sau, đây là một nhánh của nhóm tấn công mạng khét tiếng Lazarus đến từ Triều Tiên. Nhóm này đã tạo ra các ứng dụng Zoom giả mạo nhằm lừa đảo nạn nhân trong các ngành công nghiệp như game, giải trí và công nghệ tài chính (fintech).

Mục tiêu chính là chiếm quyền truy cập vào ví tiền mã hóa, tài khoản tài chính và các dữ liệu nhạy cảm khác thông qua hình thức giả mạo các công cụ hội họp quen thuộc.

Hacker Triều Tiên đánh cấp tiền mã hóa và các dữ liệu cá nhân thông qua phần mềm Zoom giả

2. Tấn công người dùng thông qua AppleScript và phần mềm độc hại

Cuộc tấn công bắt đầu với một đoạn mã AppleScript giả dạng bảo trì phần mềm Zoom SDK. Đáng chú ý, đoạn mã này chứa tới hơn 10.000 dòng trống nhằm che giấu lệnh độc hại được nhúng ở dòng 10.017 và 10.018. Các lệnh này sẽ âm thầm tải về mã độc từ tên miền giả mạo: zoom-tech[.]us.

Hacker giả mạo ứng dụng Zoom với một đoạn mã AppleScript.

Sau khi được cài vào máy, mã độc sẽ tự động khởi chạy mỗi lần bật máy nhờ cấu hình LaunchDaemon. Đây là một kỹ thuật cho phép thực thi dưới quyền quản trị cao nhất trên macOS.

Tiếp theo, phần mềm độc hại tải về thêm các thành phần khác từ hạ tầng máy chủ bị chiếm quyền. Các thành phần này có tên giống các công cụ hệ thống hợp pháp của macOS như “icloud_helper” hoặc “Wi-Fi Updater” nhằm qua mặt người dùng.

Để tránh bị phát hiện, mã độc còn sử dụng các kỹ thuật xóa dấu vết, dọn dẹp file tạm và duy trì quyền truy cập từ xa thông qua cửa hậu (backdoor).

Điểm nguy hiểm là hình thức hacker giả mạo ứng dụng Zoom, lợi dụng hoàn cảnh làm việc từ xa. Người dùng thường chấp nhận các bản vá lỗi hoặc cập nhật phần mềm mà không kiểm tra kỹ.

Không chỉ dừng lại ở việc đánh cắp tài khoản đăng nhập, mã độc còn chủ động tìm kiếm các tiện ích mở rộng ví tiền mã hóa, thông tin trình duyệt, khóa xác thực và nhiều dữ liệu tài chính khác khẳng định mục tiêu kiếm lời từ tài sản số của nhóm BlueNoroff.

Trong một vụ tấn công đã được ghi nhận, một công ty cờ bạc trực tuyến tại Canada đã bị nhắm tới vào ngày 28/5 thông qua tập tin giả mạo hỗ trợ Zoom.

3. Cách phòng tránh và bảo vệ tài sản số

Để bảo vệ bản thân và tổ chức, người dùng nên lưu ý các khuyến nghị sau:

• Luôn xác minh danh tính người tham gia cuộc họp Zoom, đặc biệt khi nhận được tập tin hoặc yêu cầu cập nhật từ bên thứ ba.

• Chặn truy cập các tên miền đáng ngờ như zoom-tech[.]us.

• Sử dụng phần mềm bảo vệ điểm cuối (endpoint protection) để ngăn mã độc xâm nhập ngay từ đầu.

• Chọn phần mềm diệt virus và chống mã độc tống tiền uy tín, đặc biệt nếu đang quản lý tài sản kỹ thuật số hoặc ví tiền mã hóa.

• Triển khai công cụ bảo vệ danh tính và theo dõi rò rỉ thông tin, phòng khi thông tin cá nhân bị khai thác.

• Huấn luyện nhân viên về kỹ năng nhận biết lừa đảo xã hội (social engineering).

• Sử dụng ví cứng (hardware wallet) để lưu trữ tiền mã hóa an toàn hơn so với trình duyệt hoặc thiết bị kết nối mạng.

Chiến dịch tấn công lần này cho thấy mức độ tinh vi ngày càng tăng của các nhóm tin tặc quốc tế, đồng thời nhấn mạnh tầm quan trọng của việc nâng cao cảnh giác và tăng cường bảo mật trong thời đại số.