SEAL Security Alliance cho biết hiện họ đang theo dõi nhiều nỗ lực hàng ngày liên quan đến trò lừa đảo Zoom giả mạo của Triều Tiên.
Cuộc tấn công lừa đảo Zoom giả mạo trong lĩnh vực crypto sử dụng một lời mời họp trông có vẻ bình thường. Sau đó, nó chuyển sang một tệp tải xuống cài đặt phần mềm độc hại.
Nhà nghiên cứu bảo mật Taylor Monahan cho biết phương pháp này đã đánh cắp hơn 300 triệu đô la. Cảnh báo này được lan truyền cùng với tài liệu ghi nhận từ SEAL Security Alliance.
Cuộc tấn công Zoom giả mạo bắt đầu bằng việc chiếm đoạt tài khoản Telegram
Trò lừa đảo Zoom giả mạo của Triều Tiên thường bắt đầu trên Telegram. Monahan cho biết tin nhắn đầu tiên có thể đến từ một tài khoản mà mục tiêu nhận ra.
Sau đó, cuộc trò chuyện chuyển sang một kế hoạch họp Zoom. Monahan cho biết kẻ tấn công gửi một liên kết trông rất thật. Cô nói rằng liên kết này “thường được ngụy trang để trông thật.”
“Họ sẽ chia sẻ một liên kết trước cuộc gọi, thường được ngụy trang để trông thật,”
Monahan nói. Cô bổ sung rằng nạn nhân có thể nhìn thấy “người đó + một số đồng nghiệp của họ” trong cuộc gọi.
Monahan cũng đề cập đến những tuyên bố về video AI.
“Những video này không phải là deepfake như nhiều báo cáo,”
cô nói. “Chúng là các bản ghi thực từ khi họ bị hack hoặc từ các nguồn công khai (podcast).”
Liên kết phần mềm độc hại Zoom phát tán mã độc qua tệp “Patch”
Trong cuộc gọi, Monahan cho biết kẻ tấn công giả vờ có sự cố âm thanh. Sau đó, họ gửi một tệp “patch” để khắc phục sự cố.
Liên kết phần mềm độc hại Zoom và tệp “patch” là trung tâm của cuộc tấn công Zoom giả mạo trong lĩnh vực crypto. Monahan cho biết mở tệp này sẽ khiến thiết bị bị nhiễm mã độc.
Sau đó, Monahan cho biết kẻ tấn công kết thúc cuộc gọi và tỏ ra bình tĩnh. “Thật không may, máy tính của bạn đã bị xâm nhập,” cô nói. “Họ chỉ giả vờ bình tĩnh để tránh bị phát hiện.”
Monahan cho biết phần mềm độc hại này hỗ trợ đánh cắp ví crypto, cũng như đánh cắp mật khẩu và khóa riêng tư. Cô cũng nói rằng kẻ tấn công nhắm vào “tài khoản Telegram của bạn.”
Chiếm đoạt tài khoản Telegram giúp mở rộng trò lừa đảo Zoom giả mạo của Triều Tiên
Monahan cho biết việc chiếm đoạt tài khoản Telegram giúp lan rộng trò lừa đảo Zoom giả mạo của Triều Tiên.
Cô nói rằng kẻ tấn công sử dụng các tài khoản Telegram bị xâm nhập để tiếp cận các liên hệ đã lưu. Quyền truy cập này tạo ra các mục tiêu mới cho cùng một mô hình lừa đảo crypto trên Zoom.
Monahan mô tả tác động lên mạng lưới của nạn nhân một cách trực tiếp. “Sau đó bạn sẽ làm hại tất cả bạn bè của mình,” cô nói, sau khi mô tả việc tài khoản Telegram bị xâm nhập.
“Cuối cùng, nếu họ hack tài khoản telegram của bạn, bạn cần THÔNG BÁO CHO MỌI NGƯỜI NGAY LẬP TỨC,” Monahan nói. “Bạn sắp làm hại bạn bè của mình. Hãy gạt bỏ tự ái và HÉT LÊN về điều đó.”
Taylor Monahan liệt kê các bước sau khi nhấp vào liên kết phần mềm độc hại Zoom
Monahan mô tả những gì các nạn nhân báo cáo đã làm sau khi nhấp vào liên kết phần mềm độc hại Zoom trong trò lừa đảo Zoom giả mạo của Triều Tiên.
Cô nói mọi người nên ngắt kết nối WiFi và tắt thiết bị bị ảnh hưởng. Sau đó, họ nên sử dụng thiết bị khác để chuyển tiền, thay đổi mật khẩu và bật xác thực hai yếu tố nếu có thể.
Cô cũng mô tả việc “xóa toàn bộ bộ nhớ” trước khi sử dụng lại thiết bị bị nhiễm. Cô cũng hướng dẫn các bước bảo mật tài khoản Telegram, bao gồm kiểm tra các phiên thiết bị, kết thúc các phiên khác và cập nhật kiểm soát xác thực.
Monahan gọi việc bảo vệ Telegram là “cực kỳ quan trọng” vì kẻ tấn công sử dụng việc chiếm đoạt tài khoản Telegram để tiếp tục chuỗi lừa đảo Zoom giả mạo trong lĩnh vực crypto.
Editor at Kriptoworld
Tatevik Avetisyan là biên tập viên tại Kriptoworld, chuyên đưa tin về các xu hướng crypto mới nổi, đổi mới blockchain và phát triển altcoin. Cô đam mê việc giải thích các câu chuyện phức tạp cho khán giả toàn cầu và làm cho tài chính số trở nên dễ tiếp cận hơn.
📅 Xuất bản: 15 tháng 12, 2025 • 🕓 Cập nhật lần cuối: 15 tháng 12, 2025
