北朝鮮の脅威アクターが、Zoomのライブビデオ通話を使用して暗号資産開発者や専門家を標的にし、マルウェアのインストールを騙し取ろうとしています。

BTC Pragueの共同創設者Martin Kuchařによると、北朝鮮を拠点とするハッカーは、侵害されたテレグラムIDとディープフェイクAIビデオを使用して既知の連絡先になりすまし、悪意のあるペイロードを配信しています。

「現在、高度なハッキングキャンペーンがBitcoinと暗号資産ユーザーを標的にしています。私自身も侵害されたテレグラムIDを通じて被害を受けました」とKuchařはXに投稿しました。

彼の投稿によると、被害者は既知の連絡先から電話を受けますが、それは元々攻撃者に乗っ取られたテレグラムIDです。これらのライブ通話を通じて、悪意のあるアクターはディープフェイク技術を使用して被害者の友人のふりをし、ミュート状態を維持します。

この沈黙が罠として機能し、攻撃の次の段階では、音声の問題を修正すると主張するプラグインまたはファイルをインストールするよう被害者を説得します。実際には、このファイルにはマルウェア、多くの場合リモートアクセストロイの木馬が含まれており、実行されると攻撃者にシステム全体へのアクセス権を付与します。

アクセスが得られると、攻撃者はすべてのテレグラム連絡先を閲覧し、侵害されたアカウントを再利用して同じ方法で次の被害者に連絡することができます。

「同僚やネットワークに直ちに通知してください。未確認のZoom/Teams通話には参加しないでください」とKuchařは付け加えました。

サイバーセキュリティー企業Huntressのセキュリティー研究者は、同様の攻撃が悪名高いLazarus Groupの傘下で活動する北朝鮮国家支援の脅威グループTA444によって実行されていることを観察しています。

北朝鮮のハッカーは3億ドル以上を流出させた 

新しい攻撃手法ではありませんが、メタマスクのセキュリティー研究者Taylor Monahanが先月警告したように、北朝鮮のハッカーはすでに同様の技術を使用して3億ドル以上を盗んでいます。

Monahanは、攻撃者が被害者についてより多くを学ぶために以前のチャット履歴に依存し、それを利用して信頼を得ることが多いと警告しました。

最も一般的な標的は、開発者、取引所スタッフ、企業幹部など、暗号資産分野に深く関わっている人々です。昨年9月の例では、THORchainの幹部に対する標的型攻撃により、システムプロンプトや管理者承認の要求なしにメタマスクウォレットが流出し、約130万ドルの損失が発生しました。