Tin tặc có liên quan đến Triều Tiên đang sử dụng các cuộc gọi Zoom giả mạo để rút sạch các ví tiền mã hóa, trong một chiến dịch mà các nhà nghiên cứu an ninh mô tả đã trở thành mối đe dọa gần như hàng ngày đối với cộng đồng tiền điện tử. Theo nhiều báo cáo an ninh, chiến dịch này đã thu về khoảng 300 triệu đô la tiền tài sản bị đánh cắp và cho thấy ít dấu hiệu chậm lại.
Các Cuộc Họp Zoom Giả Được Sử Dụng Để Rút Sạch Ví
Theo Security Alliance (SEAL) và các nhà nghiên cứu khác, những kẻ tấn công đầu tiên liên hệ với mục tiêu thông qua các ứng dụng nhắn tin như Telegram. Sau đó, chúng mời nạn nhân tham gia một cuộc gọi video trông có vẻ hợp pháp.
Trong cuộc gọi, những kẻ mạo danh tuyên bố có sự cố về âm thanh hoặc video và đề xuất một "bản sửa lỗi" — một tệp tin hoặc một liên kết trông giống như một bản cập nhật chính thức. Khi nạn nhân chạy tệp tin, phần mềm độc hại được cài đặt và bắt đầu đánh cắp thông tin đăng nhập, dữ liệu trình duyệt và các khóa tiền mã hóa.
Mỗi ngày đều có nhiều vụ tấn công được báo cáo và nhiều vụ tuân theo cùng một khuôn mẫu. Các nhà nghiên cứu nói rằng những cuộc gọi dàn dựng này cho phép kẻ tấn công vượt qua sự thận trọng thông thường bởi vì mọi người có xu hướng tin tưởng người mà họ nhìn thấy trên camera.
SEAL đang theo dõi nhiều nỗ lực HÀNG NGÀY của các tác nhân Triều Tiên sử dụng chiến thuật "Zoom Giả" để phát tán phần mềm độc hại cũng như leo thang quyền truy cập của chúng tới các nạn nhân mới.
Kỹ thuật xã hội là gốc rễ của cuộc tấn công. Đọc chuỗi tweet dưới đây để biết các chỉ dẫn về cách giữ an toàn. https://t.co/2SQGdtPKGx
— Security Alliance (@_SEAL_Org) December 13, 2025
NimDoor Và Các Chủng Phần Mềm Độc Hại Khác Nhắm Vào macOS Và Các Ví
Dựa trên các báo cáo, một chủng phần mềm độc hại liên quan đến các âm mưu này là NimDoor, một cửa hậu (backdoor) cho macOS có thể thu thập các mục keychain, mật khẩu được lưu trữ trong trình duyệt và dữ liệu nhắn tin.
Các nhóm an ninh liên kết NimDoor và các công cụ liên quan đến BlueNoroff, một nhóm có kết nối với mạng lưới Lazarus Group. BlueNoroff có một hồ sơ dài về việc tấn công các công ty và sàn giao dịch tiền mã hóa.
Một khi phần mềm độc hại đã được cài đặt, các ví thường bị rút sạch trong vòng vài phút. Nạn nhân thường chỉ phát hiện ra vụ trộm sau khi thấy các giao dịch đi ra trên blockchain.
Deepfake Và Lời Mời Lịch Làm Cho Các Vụ Lừa Đảo Thuyết Phục Hơn
Các nhà nghiên cứu cảnh báo rằng những kẻ tấn công không chỉ đơn giản sử dụng tên giả. Chúng còn triển khai các công cụ video và giọng nói deepfake được hỗ trợ bởi AI để mạo danh các giám đốc điều hành hoặc các liên hệ đã biết.
Đôi khi, những kẻ tấn công gửi các lời mời lịch trông giống như các yêu cầu họp chính đáng từ các nền tảng như Calendly, hướng các mục tiêu đến các liên kết Zoom do kẻ tấn công kiểm soát.
Mức độ xã hội học (social engineering) làm cho các cuộc gọi có vẻ khẩn cấp và chính thức, điều này làm giảm thời gian nạn nhân dùng để nghi ngờ những gì họ được yêu cầu cài đặt.
Kẻ Tấn Công Nhắm Mục Tiêu Vào Cả Cá Nhân Và Các Công Ty Nhỏ
Các báo cáo đã tiết lộ rằng nạn nhân bao gồm các nhà giao dịch cá nhân, nhân viên startup và các nhóm nhỏ tại các công ty tiền mã hóa. Tổn thất tập trung nhưng lan rộng, với ước tính vào khoảng 300.000.000 đô la.
Một số nạn nhân đã mất số tiền liên quan đến các ví trình duyệt và ví nóng (hot wallets); những người khác thì bị đánh cắp cụm từ khôi phục (recovery phrases) và bị sử dụng để rút sạch tài khoản.
Các nhóm an ninh kêu gọi hành động nhanh chóng khi một bản cập nhật đáng ngờ được đề xuất trong một phiên làm việc từ xa: Họ cảnh báo không chạy nó, hãy xác minh một cách riêng biệt, và coi các bản sửa lỗi cuộc họp không được yêu cầu là có rủi ro cao.
Hình ảnh nổi bật từ Unsplash, biểu đồ từ TradingView
