北朝鮮のサイバー犯罪者たちはソーシャルエンジニアリングキャンペーンで戦略的な転換を行いました。彼らは偽のビデオ会議で信頼される業界の人物になりすまし、3億ドル以上を盗みました。
メタマスクのセキュリティー研究者であるテイラー・モナハン(Tayvanoとして知られる)による詳細な警告は、暗号資産幹部を標的とした巧妙な「長期詐欺」の概要を示しています。
Sponsored
Sponsored
北朝鮮の偽会議が暗号資産ウォレットを枯渇させる方法
モナハンによると、このキャンペーンはAIディープフェイクに依存した最近の攻撃とは異なるアプローチを取っています。
代わりに、乗っ取られたテレグラムアカウントと実際のインタビューからのループ映像に基づいたより直接的なアプローチを使用しています。
攻撃は通常、ハッカーが信頼されるテレグラムアカウント(多くの場合、ベンチャーキャピタルや被害者が以前に会議で会った人物のもの)の制御を奪った後に始まります。
その後、悪意のある攻撃者は過去のチャット履歴を悪用して正当性を装い、偽装されたCalendlyリンクを通じてZoomやMicrosoft Teamsのビデオ通話に被害者を誘導します。
会議が始まると、被害者は連絡先のライブビデオフィードのように見えるものを目にします。実際には、それはポッドキャストや公の場での出演から再利用された録画であることが多いです。
Sponsored
Sponsored
決定的な瞬間は通常、作り出された技術的問題の後に訪れます。
音声やビデオの問題を指摘した後、攻撃者は特定のスクリプトをダウンロードするか、ソフトウェア開発キット(SDK)を更新することで接続を復元するよう被害者に促します。その時点で配信されるファイルには悪意のあるペイロードが含まれています。
インストールされると、マルウェア(多くの場合、リモートアクセストロイの木馬(RAT))は攻撃者に完全な制御権を与えます。
これにより暗号資産ウォレットが枯渇し、内部セキュリティープロトコルやテレグラムセッショントークンなどの機密データが流出し、それらはネットワーク内の次の被害者を標的にするために使用されます。
これを考慮して、モナハンはこの特定のベクトルが専門的な礼儀を武器化していると警告しました。
ハッカーは「ビジネス会議」の心理的圧力に依存して判断の誤りを強制し、日常的なトラブルシューティング要求を致命的なセキュリティー侵害に変えています。
業界参加者にとって、通話中にソフトウェアをダウンロードするよう求められることは、現在、積極的な攻撃の兆候と見なされています。
一方、この「偽会議」戦略は、朝鮮民主主義人民共和国(DPRK)の関係者によるより広範な攻撃の一部です。彼らはBybit侵害を含め、過去1年間でこの分野から推定20億ドルを盗んでいます。
Source: https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
