Північнокорейські кіберзлочинці здійснили стратегічний поворот у своїх кампаніях соціальної інженерії. Вони вкрали понад 300 мільйонів доларів, видаючи себе за довірених осіб галузі на фальшивих відеозустрічах.
Попередження, детально описане дослідником безпеки MetaMask Тейлором Монаханом (відомим як Tayvano), окреслює складну "довгострокову аферу", націлену на керівників криптовалютної галузі.
Спонсоровано
Спонсоровано
Як фальшиві зустрічі Північної Кореї спустошують криптовалютні гаманці
За словами Монахана, кампанія відрізняється від недавніх атак, які покладалися на ШІ-діпфейки.
Натомість вона використовує більш прямий підхід, побудований на викрадених акаунтах Telegram ID та зациклених відеозаписах з реальних інтерв'ю.
Атака зазвичай починається після того, як хакери захоплюють контроль над довіреним акаунтом Telegram ID, який часто належить венчурним фірмам або комусь, з ким жертва раніше зустрічалася на конференції.
Потім зловмисники використовують попередню історію чату, щоб виглядати легітимно, спрямовуючи жертву на відеодзвінок Zoom або Microsoft Teams через замаскований посилання Calendly.
Коли зустріч починається, жертва бачить те, що здається прямою відеотрансляцією їхнього контакту. Насправді це часто перероблений запис з подкасту чи публічного виступу.
Спонсоровано
Спонсоровано
Вирішальний момент зазвичай настає після штучно створеної технічної проблеми.
Після посилання на проблеми з аудіо чи відео, нападник спонукає жертву відновити з'єднання, завантаживши певний скрипт або оновивши комплект розробки програмного забезпечення, або SDK. Файл, доставлений у цей момент, містить шкідливе навантаження.
Після встановлення шкідливе програмне забезпечення — часто троян віддаленого доступу (RAT) — надає нападнику повний контроль.
Воно спустошує криптовалютні гаманці та викрадає конфіденційні дані, включаючи внутрішні протоколи безпеки та токени сесій Telegram ID, які потім використовуються для націлювання на наступну жертву в мережі.
Враховуючи це, Монахан попередив, що цей конкретний вектор перетворює на зброю професійну ввічливість.
Хакери покладаються на психологічний тиск "ділової зустрічі", щоб змусити до помилки в судженнях, перетворюючи звичайний запит на усунення несправностей на фатальне порушення безпеки.
Для учасників галузі будь-який запит на завантаження програмного забезпечення під час дзвінка тепер вважається активним сигналом атаки.
Тим часом ця стратегія "фальшивих зустрічей" є частиною ширшого наступу акторів Корейської Народно-Демократичної Республіки (КНДР). За минулий рік вони вкрали з сектору приблизно 2 мільярди доларів, включаючи злам Bybit.
Джерело: https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
