Северокорейские киберпреступники осуществили стратегический поворот в своих кампаниях социальной инженерии. Они украли более 300 миллионов $ путем выдачи себя за доверенных лиц отрасли на поддельных видеовстречах.
Предупреждение, подробно описанное исследователем безопасности MetaMask Тейлором Монаханом (известным как Tayvano), описывает сложную схему "долгосрочного обмана", нацеленную на руководителей криптоиндустрии.
Спонсировано
Спонсировано
Как поддельные встречи Северной Кореи опустошают криптокошельки
По словам Монахана, кампания отходит от недавних атак, которые полагались на дипфейки с использованием ИИ-агентов.
Вместо этого используется более прямой подход, основанный на взломанных аккаунтах Telegram ID и зацикленных видеозаписях из реальных интервью.
Атака обычно начинается после того, как хакеры захватывают контроль над доверенным аккаунтом Telegram ID, часто принадлежащим венчурным фирмам или кому-то, с кем жертва ранее встречалась на конференции.
Затем злоумышленники используют предыдущую историю чата, чтобы выглядеть легитимно, направляя жертву на видеозвонок в Zoom или Microsoft Teams через замаскированную ссылку Calendly.
Когда встреча начинается, жертва видит то, что кажется живой видеотрансляцией их контакта. В реальности это часто переработанная запись из подкаста или публичного выступления.
Спонсировано
Спонсировано
Решающий момент обычно следует за искусственно созданной технической проблемой.
После упоминания проблем со звуком или видео, атакующий призывает жертву восстановить соединение, загрузив определенный скрипт или обновив комплект разработки программного обеспечения (SDK). Файл, доставленный в этот момент, содержит вредоносную нагрузку.
После установки вредоносное ПО — часто троян удаленного доступа (RAT) — предоставляет атакующему полный контроль.
Оно опустошает криптовалютные кошельки и похищает конфиденциальные данные, включая внутренние протоколы безопасности и токены сессий Telegram ID, которые затем используются для нацеливания на следующую жертву в сети.
Учитывая это, Монахан предупредил, что этот конкретный вектор превращает профессиональную вежливость в оружие.
Хакеры полагаются на психологическое давление "деловой встречи", чтобы вызвать ошибку в суждении, превращая обычный запрос на устранение неполадок в фатальное нарушение безопасности.
Для участников отрасли любой запрос на загрузку программного обеспечения во время звонка теперь считается активным сигналом атаки.
Между тем, эта стратегия "поддельных встреч" является частью более широкого наступления со стороны субъектов Корейской Народно-Демократической Республики (КНДР). За последний год они украли примерно 2 миллиарда $ из сектора, включая взлом Bybit.
Источник: https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
