Lừa đảo đánh cắp tiền điện tử nhắm vào nhân viên Web3 bằng ứng dụng họp giả mạo

Cado Security Labs cho biết những kẻ lừa đảo sử dụng AI để tạo các trang web công ty giả mạo và lừa những người làm việc trong lĩnh vực tiền điện tử tải xuống các ứng dụng họp đánh cắp thông tin.

Cado Security Labs cảnh báo rằng những người làm việc tại Web3 đang là mục tiêu của một chiến dịch sử dụng các ứng dụng họp giả để phát tán phần mềm độc hại và đánh cắp thông tin đăng nhập vào các trang web, ứng dụng và ví tiền điện tử.

Những kẻ lừa đảo đang sử dụng trí tuệ nhân tạo để tạo và điền vào các trang web và tài khoản mạng xã hội để xuất hiện như những công ty hợp pháp trước khi liên hệ với các mục tiêu tiềm năng để nhắc họ tải xuống ứng dụng họp, Tara Gould, người đứng đầu nghiên cứu mối đe dọa của Cado, đã viết trong  báo cáo  ngày 6 tháng 12 .

Ứng dụng này có tên là “Meeten” nhưng hiện tại nó có tên là “Meetio” và thường xuyên đổi tên. Trước đây, nó đã sử dụng Clusee.com, Cuesee, Meeten.gg, Meeten.us và Meetone.gg.

Ứng dụng này chứa chương trình đánh cắp thông tin Realst và sau khi được tải xuống, nó sẽ săn lùng các mục nhạy cảm như thông tin đăng nhập Telegram, thông tin thẻ ngân hàng và thông tin về ví tiền điện tử để gửi lại cho kẻ tấn công.

Nguồn:  Cado Security Labs  

Kẻ đánh cắp cũng có thể tìm kiếm cookie của trình duyệt và thông tin đăng nhập tự động từ các ứng dụng như Google Chrome và Mircosoft Edge, cùng với thông tin về Ledger, Trezor và Binance Wallets .

Kế hoạch này có thể bao gồm kỹ thuật xã hội và giả mạo. Một người dùng báo cáo rằng họ đã được liên lạc trên Telegram bởi một người quen muốn thảo luận về một cơ hội kinh doanh nhưng sau đó bị phát hiện là kẻ mạo danh.

Gould cho biết: “Điều thú vị hơn nữa là kẻ lừa đảo đã gửi cho anh ta một bản trình bày về khoản đầu tư từ công ty mục tiêu, cho thấy đây là một vụ lừa đảo tinh vi và có mục tiêu rõ ràng”.  

Những người khác đã báo cáo rằng họ “bị gọi điện liên quan đến công việc của Web3, tải xuống phần mềm và bị đánh cắp tiền điện tử”, Gould nói thêm.

Ứng dụng họp giả mạo này sẽ duyệt qua các tên trên một trang web chứa đầy nội dung do AI tạo ra để có vẻ hợp pháp hơn. Nguồn:  Cado Security Labs

Để tăng thêm độ tin cậy, những kẻ lừa đảo đã thiết lập một trang web công ty với các blog do AI tạo ra , nội dung sản phẩm và các tài khoản mạng xã hội đi kèm, bao gồm X và Medium.

Gould cho biết: “Trong khi trọng tâm gần đây là khả năng AI tạo ra phần mềm độc hại, thì các tác nhân đe dọa ngày càng sử dụng AI để tạo nội dung cho các chiến dịch của chúng”.

“Việc sử dụng AI cho phép kẻ tấn công nhanh chóng tạo ra nội dung trang web thực tế giúp tăng tính hợp pháp cho các trò lừa đảo và khiến việc phát hiện các trang web đáng ngờ trở nên khó khăn hơn.” 

Các trang web giả mạo nơi người dùng được nhắc tải xuống phần mềm chứa phần mềm độc hại cũng chứa Javascript để đánh cắp tiền điện tử được lưu trữ trong trình duyệt web, ngay cả trước khi cài đặt bất kỳ phần mềm độc hại nào.

Những kẻ lừa đảo đã tạo ra cả phiên bản macOS và Windows. Gould cho biết kế hoạch này đã hoạt động trong khoảng bốn tháng.

Những kẻ lừa đảo khác cũng đã tích cực sử dụng các chiến thuật này. Vào tháng 8, thám tử onchain ZackXBT cho biết ông đã tìm thấy 21 nhà phát triển , có thể là người Triều Tiên, đang làm việc trên nhiều dự án tiền điện tử liên quan đến danh tính giả.

Vào tháng 9, FBI đã đưa ra cảnh báo về tin tặc Triều Tiên nhắm vào các công ty tiền điện tử và các dự án tài chính phi tập trung bằng phần mềm độc hại được ngụy trang dưới dạng lời mời làm việc.