I Cybercriminali della Corea del Nord Hanno Eseguito un Cambiamento Strategico nelle Loro Campagne di Ingegneria Sociale. Hanno Rubato Più di $300 Milioni Impersonando Figure di Fiducia del Settore in Riunioni Video Fasulle.
L'avvertimento, dettagliato dal ricercatore di sicurezza di MetaMask Taylor Monahan (conosciuto come Tayvano), delinea una sofisticata "truffa a lungo termine" che prende di mira gli executive delle criptovalute.
Sponsorizzato
Sponsorizzato
Come le Riunioni Fasulle della Corea del Nord Stanno Prosciugando i Portafogli di Criptovaluta
Secondo Monahan, la campagna si discosta dai recenti attacchi che si basavano su deepfake di IA.
Invece, utilizza un approccio più diretto basato su account Telegram hijacked e filmati in loop da interviste reali.
L'attacco tipicamente inizia dopo che gli hacker prendono il controllo di un account Telegram fidato, spesso appartenente a un'impresa con capitale di ventura o a qualcuno che la vittima ha incontrato in precedenza a una conferenza.
Quindi, gli attaccanti malevoli sfruttano la cronologia delle chat precedenti per apparire legittimi, guidando la vittima verso una videochiamata Zoom o Microsoft Teams tramite un link Calendly camuffato.
Una volta iniziata la riunione, la vittima vede quello che sembra essere un feed video in diretta del proprio contatto. In realtà, è spesso una registrazione riciclata da un podcast o un'apparizione pubblica.
Sponsorizzato
Sponsorizzato
Il momento decisivo tipicamente segue un problema tecnico fabbricato.
Dopo aver citato problemi audio o video, l'attaccante sollecita la vittima a ripristinare la connessione scaricando uno script specifico o aggiornando un kit di sviluppo software, o SDK. Il file consegnato in quel momento contiene il payload malevolo.
Una volta installato, il malware—spesso un Trojan ad Accesso Remoto (RAT)—concede all'attaccante il controllo totale.
Prosciuga i portafogli di criptovaluta ed esfiltrata dati sensibili, inclusi protocolli di sicurezza interni e token di sessione Telegram, che vengono poi utilizzati per prendere di mira la prossima vittima nella rete.
Considerando questo, Monahan ha avvertito che questo vettore specifico trasforma la cortesia professionale in un'arma.
Gli hacker si affidano alla pressione psicologica di una "riunione di lavoro" per forzare un errore di giudizio, trasformando una richiesta di risoluzione dei problemi di routine in una violazione fatale della sicurezza.
Per i partecipanti del settore, qualsiasi richiesta di scaricare software durante una chiamata è ora considerata un segnale di attacco attivo.
Nel frattempo, questa strategia di "riunione fasulla" fa parte di un'offensiva più ampia da parte degli attori della Repubblica Popolare Democratica di Corea (RPDC). Hanno rubato circa $2 miliardi dal settore nell'ultimo anno, inclusa la violazione di Bybit.
Fonte: https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
