Noord-Koreaanse dreigingsactoren richten zich opnieuw op cryptocurrency-ontwikkelaars en -professionals met behulp van livevideogesprekken op Zoom om hen te verleiden malware te installeren.

Hackers uit Noord-Korea gebruiken gecompromitteerde Telegram-accounts en deepfake AI-video's om bekende contacten na te bootsen en kwaadaardige payloads te leveren, aldus BTC Prague medeoprichter Martin Kuchař.

"Een geavanceerde hackcampagne richt zich momenteel op Bitcoin- en cryptogebruikers. Ik ben persoonlijk getroffen via een gecompromitteerd Telegram-account," schreef Kuchař op X.

Volgens zijn bericht krijgen slachtoffers een oproep van een bekend contact, wat oorspronkelijk een gekaapt Telegram-account is dat door aanvallers is overgenomen. Via deze live-oproepen doen kwaadwillenden zich voor als de vriend van het slachtoffer met behulp van deepfake-technologie, terwijl ze de hele tijd gedempt blijven.

Deze stilte fungeert als lokmiddel, aangezien de volgende fase van de aanval erin bestaat het slachtoffer te overtuigen een plug-in of bestand te installeren dat beweert audioproblemen op te lossen. In werkelijkheid bevat het bestand malware, vaak een Remote Access Trojan, die aanvallers volledige systeemtoegang verleent zodra deze wordt uitgevoerd.

Zodra toegang is verkregen, kunnen aanvallers alle Telegram-contacten bekijken en het gecompromitteerde account hergebruiken om op dezelfde manier het volgende slachtoffer te benaderen.

"Informeer uw collega's en netwerk onmiddellijk. Neem niet deel aan niet-geverifieerde Zoom/Teams-oproepen," voegde Kuchař toe.

Beveiligingsonderzoekers bij cybersecuritybedrijf Huntress hebben waargenomen dat vergelijkbare aanvallen zijn gelanceerd door TA444, een door de Noord-Koreaanse staat gesponsorde dreigingsgroep die opereert onder de beruchte Lazarus Group.

Noord-Koreaanse hackers hebben meer dan $300 miljoen buitgemaakt 

Hoewel het geen nieuwe aanvalsvector is, hebben Noord-Koreaanse hackers al meer dan $300 miljoen gestolen met vergelijkbare technieken, zoals vorige maand gewaarschuwd door MetaMask-beveiligingsonderzoeker Taylor Monahan.

Monahan waarschuwde dat aanvallers vaak vertrouwen op eerdere chatgeschiedenis om meer over de slachtoffers te leren voordat ze deze tegen hen gebruiken om hun vertrouwen te winnen.

De meest voorkomende doelwitten zijn degenen die diep verankerd zijn in de cryptowereld, waaronder ontwikkelaars, beurspersoneel en bedrijfsleiders. In een voorbeeld van september vorig jaar leidde een gerichte aanval tegen een THORchain-leidinggevende tot verliezen van ongeveer $1,3 miljoen nadat een MetaMask-wallet werd geleegd zonder enige systeemmelding of verzoek om beheerdersgoedkeuring.