Chuỗi tấn công mạng mới nhắm vào các chuyên gia cryptocurrency và Web3 sử dụng giao diện Zoom giả, PowerShell fileless và nội dung deepfake do AI tạo ra. Hoạt động này được gắn với BlueNoroff, một nhánh thiên về tài chính, với mục tiêu đánh cắp tài sản số và thông tin xác thực.
Chiến dịch tấn công mạng qua Zoom giả và spear-phishing
Chuỗi tấn công mạng bắt đầu từ email spear-phishing. Kẻ tấn công giả danh một chuyên gia pháp lý trong lĩnh vực Fintech và gửi lời mời Calendly tới mục tiêu.
Sau khi nạn nhân xác nhận lịch họp, liên kết Google Meet bị thay bằng một URL Zoom typosquat, được thiết kế gần như giống hệt miền hợp lệ. Khi người dùng truy cập, trình duyệt tải một trang HTML tự chứa mô phỏng giao diện Zoom, gồm các ô video giả, đoạn video lặp và chỉ báo người đang phát biểu.
Tham khảo báo cáo gốc tại Arctic Wolf.
Kỹ thuật ClickFix và PowerShell fileless trong cuộc tấn công mạng
Trong phiên họp giả, một lớp phủ cố định xuất hiện và báo rằng SDK của người dùng đã lỗi thời, cần cập nhật. Đây là kỹ thuật ClickFix dựa trên clipboard injection.
Trang web hiển thị các lệnh chẩn đoán có vẻ vô hại và yêu cầu người dùng sao chép rồi dán vào Windows Run dialog hoặc terminal. Khi sao chép, nội dung clipboard bị thay thế âm thầm bằng một lệnh PowerShell thực thi ẩn.
Lệnh PowerShell này tải về một script giai đoạn hai đã được làm rối từ máy chủ C2 của kẻ tấn công và lưu vào thư mục Temp của người dùng dưới tên chromechip.log.
chromechip.logFile này chạy trong cửa sổ ẩn, cài đặt một C2 beacon bền vững hoạt động hoàn toàn trong bộ nhớ và liên lạc với máy chủ điều khiển mỗi 5 giây. Đây là đặc trưng của PowerShell fileless trong các chiến dịch tấn công mạng hiện đại.
Ảnh hưởng hệ thống và dữ liệu bị thu thập
Implant thu thập các thông tin gồm hostname, phiên bản hệ điều hành, tiến trình đang chạy, quyền quản trị và múi giờ. Dữ liệu được đóng gói thành một beacon JSON cấu trúc và gửi về máy chủ từ xa.
Điều tra số cho thấy kẻ tấn công duy trì truy cập bền bỉ trên thiết bị nạn nhân trong 66 ngày, đồng thời đánh cắp:
- Browser credentials
- Telegram session data
- Live webcam footage
Dữ liệu webcam bị đánh cắp tiếp tục được tái sử dụng để tạo lure thuyết phục hơn cho các cuộc gọi sau. Chuỗi tấn công mạng này hoàn tất từ cú nhấp đầu tiên đến chiếm quyền hệ thống trong chưa đầy 5 phút.
Deepfake pipeline và tái sử dụng nội dung bị đánh cắp
Điểm đáng chú ý của chiến dịch là quy trình sản xuất deepfake tự khuếch đại. Hơn 950 file được phát hiện trên máy chủ lưu trữ của kẻ tấn công, bao gồm ảnh chân dung do AI tạo, video tổng hợp deepfake và footage webcam thực tế lấy từ nạn nhân trước đó.
Metadata C2PA xác nhận một số ảnh đầu ra được tạo bằng mô hình GPT-4o. Mỗi phiên xâm nhập thành công lại cung cấp thêm tư liệu cho các lure tiếp theo, làm tăng độ tin cậy của chuỗi tấn công mạng.
Nhóm mục tiêu tập trung vào các cá nhân có quyền truy cập trực tiếp vào ví tiền mã hóa và hạ tầng wallet. Trong dữ liệu quan sát được, CEO và founder chiếm 45% số mục tiêu xác định.
IOC và chỉ dấu liên quan
Các chỉ dấu có thể dùng cho phát hiện xâm nhập và săn tìm mối đe dọa:
- Filename: chromechip.log
- Startup shortcut: Chrome Update Certificated.lnk
- File liên quan: chrome-debug-data001.log
- Hành vi: clipboard injection, PowerShell fileless, C2 beacon mỗi 5 giây
- Phương thức mồi: Zoom typosquat, giao diện họp giả, lời nhắc cập nhật SDK
Biện pháp xử lý trên thiết bị bị ảnh hưởng
Security team cần chặn các địa chỉ C2 đã xác định, xóa shortcut khởi động Chrome Update Certificated.lnk và loại bỏ chromechip.log cùng chrome-debug-data001.log khỏi thiết bị bị ảnh hưởng.
Tất cả mật khẩu lưu trong trình duyệt, API keys và thông tin đăng nhập ví tiền mã hóa phải được xoay vòng ngay lập tức. PowerShell Script Block Logging nên được bật trên toàn bộ endpoint để hỗ trợ phát hiện sớm việc thực thi payload bị làm rối.
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1Phát hiện xâm nhập và kiểm soát rủi ro bảo mật
Để giảm rủi ro bảo mật trong các kịch bản họp trực tuyến, cần xác minh mọi liên kết cuộc họp qua kênh liên lạc thứ hai trước khi tham gia. Các nền tảng hợp lệ không yêu cầu người dùng chạy lệnh terminal để sửa lỗi audio hoặc camera.
Với môi trường Web3, cryptocurrency và financial services, đây là một dạng cảnh báo CVE không theo mô hình lỗ hổng phần mềm truyền thống, mà là chuỗi tấn công mạng khai thác hành vi người dùng, PowerShell fileless và giao diện giả để đạt remote code execution trên máy nạn nhân.
Trong thực tế vận hành, việc phát hiện xâm nhập nên tập trung vào lưu lượng C2 định kỳ, tiến trình PowerShell bất thường, thay đổi clipboard và các file log ngụy trang nằm trong thư mục Temp. Kết hợp kiểm tra endpoint với giám sát hành vi sẽ hỗ trợ ngăn chặn sớm các biến thể tấn công mạng tương tự.
