อาชญากรไซเบอร์เกาหลีเหนือได้ปรับเปลี่ยนกลยุทธ์ในแคมเปญวิศวกรรมสังคมของพวกเขา พวกเขาได้ขโมยเงินมากกว่า 300 ล้านดอลลาร์โดยการปลอมตัวเป็นบุคคลสำคัญในอุตสาหกรรมที่น่าเชื่อถือในการประชุมวิดีโอปลอม
คำเตือนนี้ ซึ่งรายละเอียดโดยนักวิจัยด้านความปลอดภัยของ MetaMask เทย์เลอร์ โมนาฮาน (รู้จักในนาม Tayvano) ได้อธิบายถึงการหลอกลวงที่ซับซ้อนแบบ "long-con" ที่มุ่งเป้าไปที่ผู้บริหารคริปโต
สนับสนุน
สนับสนุน
การประชุมปลอมของเกาหลีเหนือกำลังดูดเงินจากกระเป๋าเงินคริปโต
ตามที่โมนาฮานกล่าว แคมเปญนี้แตกต่างจากการโจมตีล่าสุดที่อาศัยดีปเฟคของ AI
แทนที่จะเป็นเช่นนั้น มันใช้วิธีการที่ตรงไปตรงมามากกว่าซึ่งสร้างขึ้นบนบัญชี Telegram ที่ถูกแฮ็กและภาพวนซ้ำจากการสัมภาษณ์จริง
การโจมตีมักเริ่มต้นหลังจากแฮกเกอร์ยึดควบคุมบัญชี Telegram ที่น่าเชื่อถือ ซึ่งมักเป็นของนักลงทุนเงินร่วมหรือคนที่เหยื่อเคยพบในการประชุม
จากนั้น ผู้โจมตีที่มีเจตนาร้ายจะใช้ประโยชน์จากประวัติการแชทก่อนหน้าเพื่อให้ดูน่าเชื่อถือ นำทางเหยื่อไปยังการโทรวิดีโอ Zoom หรือ Microsoft Teams ผ่านลิงก์ Calendly ที่ถูกปลอมแปลง
เมื่อการประชุมเริ่มต้น เหยื่อจะเห็นสิ่งที่ดูเหมือนเป็นวิดีโอสดของผู้ติดต่อ แต่ในความเป็นจริง มันมักเป็นการบันทึกที่นำมาใช้ใหม่จากพอดแคสต์หรือการปรากฏตัวในที่สาธารณะ
สนับสนุน
สนับสนุน
ช่วงเวลาสำคัญมักตามมาด้วยปัญหาทางเทคนิคที่สร้างขึ้น
หลังจากอ้างถึงปัญหาเสียงหรือวิดีโอ ผู้โจมตีจะกระตุ้นให้เหยื่อคืนค่าการเชื่อมต่อโดยการดาวน์โหลดสคริปต์เฉพาะหรืออัปเดตชุดพัฒนาซอฟต์แวร์ หรือ SDK ไฟล์ที่ส่งมอบในจุดนั้นมีโค้ดอันตราย
เมื่อติดตั้งแล้ว มัลแวร์—มักเป็นโทรจันการเข้าถึงระยะไกล (RAT)—จะให้การควบคุมทั้งหมดแก่ผู้โจมตี
มันดูดเงินจากกระเป๋าเงินคริปโตและขโมยข้อมูลที่ละเอียดอ่อน รวมถึงโปรโตคอลความปลอดภัยภายในและโทเค็นเซสชัน Telegram ซึ่งจะถูกนำไปใช้เพื่อเล็งเป้าหมายเหยื่อรายต่อไปในเครือข่าย
เมื่อพิจารณาเรื่องนี้ โมนาฮานเตือนว่าเวกเตอร์เฉพาะนี้ใช้มารยาททางวิชาชีพเป็นอาวุธ
แฮกเกอร์อาศัยแรงกดดันทางจิตวิทยาของ "การประชุมธุรกิจ" เพื่อบังคับให้เกิดความผิดพลาดในการตัดสินใจ เปลี่ยนคำขอแก้ไขปัญหาทั่วไปให้กลายเป็นการละเมิดความปลอดภัยร้ายแรง
สำหรับผู้เข้าร่วมในอุตสาหกรรม คำขอใด ๆ ให้ดาวน์โหลดซอฟต์แวร์ระหว่างการโทรถือเป็นสัญญาณการโจมตีที่กำลังดำเนินอยู่
ในขณะเดียวกัน กลยุทธ์ "การประชุมปลอม" นี้เป็นส่วนหนึ่งของการโจมตีในวงกว้างโดยตัวแสดงจากสาธารณรัฐประชาธิปไตยประชาชนเกาหลี (DPRK) พวกเขาได้ขโมยเงินประมาณ 2 พันล้านดอลลาร์จากภาคส่วนนี้ในช่วงปีที่ผ่านมา รวมถึงการละเมิดความปลอดภัยของ Bybit
แหล่งที่มา: https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
