Północnokoreańscy cyberprzestępcy dokonali strategicznego zwrotu w swoich kampaniach socjotechnicznych. Ukradli ponad 300 milionów dolarów, podszywając się pod zaufane osobistości branżowe podczas fałszywych spotkań wideo.
Ostrzeżenie, szczegółowo opisane przez badaczkę bezpieczeństwa MetaMask Taylor Monahan (znaną jako Tayvano), przedstawia wyrafinowane oszustwo typu "long-con" wymierzone w dyrektorów firm kryptowalutowych.
Sponsorowane
Sponsorowane
Jak fałszywe spotkania Korei Północnej opróżniają portfele kryptowalutowe
Według Monahan, kampania odchodzi od niedawnych ataków, które opierały się na deepfake'ach AI.
Zamiast tego wykorzystuje bardziej bezpośrednie podejście oparte na przejętych kontach Telegram i zapętlonych nagraniach z prawdziwych wywiadów.
Atak zazwyczaj rozpoczyna się po przejęciu przez hakerów kontroli nad zaufanym kontem Telegram, często należącym do inwestora venture capital lub kogoś, kogo ofiara wcześniej spotkała na konferencji.
Następnie złośliwi atakujący wykorzystują wcześniejszą historię czatu, aby wydawać się wiarygodnymi, kierując ofiarę na rozmowę wideo przez Zoom lub Microsoft Teams za pomocą zamaskowanego linku Calendly.
Gdy spotkanie się rozpoczyna, ofiara widzi to, co wydaje się być transmisją na żywo od swojego kontaktu. W rzeczywistości jest to często ponownie wykorzystane nagranie z podcastu lub publicznego wystąpienia.
Sponsorowane
Sponsorowane
Decydujący moment zwykle następuje po sfabrykowanym problemie technicznym.
Po zgłoszeniu problemów z dźwiękiem lub obrazem, atakujący nakłania ofiarę do przywrócenia połączenia poprzez pobranie określonego skryptu lub aktualizację zestawu do tworzenia oprogramowania (SDK). Dostarczony w tym momencie plik zawiera złośliwy ładunek.
Po zainstalowaniu, złośliwe oprogramowanie — często trojan zdalnego dostępu (RAT) — daje atakującemu pełną kontrolę.
Opróżnia portfele kryptowalutowe i wykrada wrażliwe dane, w tym wewnętrzne protokoły bezpieczeństwa i tokeny sesji Telegram, które są następnie wykorzystywane do atakowania kolejnej ofiary w sieci.
Biorąc to pod uwagę, Monahan ostrzegła, że ten konkretny wektor wykorzystuje profesjonalną uprzejmość jako broń.
Hakerzy polegają na psychologicznej presji "spotkania biznesowego", aby wymusić błąd w ocenie sytuacji, zamieniając rutynową prośbę o rozwiązanie problemu w fatalny wyłom w zabezpieczeniach.
Dla uczestników branży, każda prośba o pobranie oprogramowania podczas rozmowy jest teraz uznawana za sygnał aktywnego ataku.
Tymczasem strategia "fałszywych spotkań" jest częścią szerszej ofensywy aktorów z Koreańskiej Republiki Ludowo-Demokratycznej (KRLD). W ciągu ostatniego roku ukradli oni szacunkowo 2 miliardy dolarów z sektora, w tym podczas włamania do Bybit.
Źródło: https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
