يستخدم قراصنة كوريون شماليون مكالمات زووم خبيثة لاستهداف مستخدمي العملات الرقمية على تيليجرام

يستخدم القراصنة الكوريون الشماليون بشكل متزايد اجتماعات زووم الخادعة لتعريض الضحايا وسرقة الأصول الرقمية، وفقا لمنظمة الأمن السيبراني غير الربحية تحالف الأمن السيبراني (SEAL).

هذه الاجتماعات الخبيثة عبر زووم، التي غالبا ما تستهدف أرقام العملات الرقمية رفيعة المستوى، أصبحت أمرا يوميا، حسبما حذر فريق SEAL في منشور حديث ل X.

"تقوم SEAL بتتبع عدة محاولات يومية من قبل جهات كورية شمالية تستخدم أساليب 'زووم المزيف' لنشر البرمجيات الخبيثة بالإضافة إلى تصعيد وصولها إلى ضحايا جدد. الهندسة الاجتماعية هي جذور الهجوم"، كتبت المجموعة.

في منشور منفصل نشر في نفس اليوم، أوضحت الباحثة في الأمن السيبراني تايلور مونهان أن هذا الهجوم قد استنزف بالفعل أكثر من 300 مليون دولار من محافظ المستخدمين غير المتوقعين.

القراصنة الكوريون الشماليون يستخدمون زووم لنشر سكريبتات خبيثة

عادة ما تبدأ عملية الاحتيال بتواصل الجهات السيئة عبر حساب تيليجرام يخص شخصا يعرفه الضحية. 

وبما أن الحساب مألوف، يتم إغراء الضحية في شعور زائف بالثقة وينجذب في النهاية إلى محادثة عابرة تؤدي إلى دعوة مكالمة فيديو عبر زووم.

ثم يشارك القراصنة رابطا خبيثا متخفيا ليبدو كدعوة Zoom عادية. في تلك الصفحة، قد يرى الضحايا ما يبدو أنه جهة اتصال لهم، مع زملاء أو شركاء مزعومين. 

وفقا لموناهان، هذه ليست فيديوهات مزيفة عميقة بل فيديوهات حقيقية مسجلة من اختراقات سابقة أو مصادر متاحة للجمهور مثل البودكاست.

بمجرد بدء المكالمة، يتظاهر القراصنة بوجود مشاكل صوتية ويقنعون الضحية بأن هناك حاجة إلى تحديث لحل المشكلة. 

ثم يرسل للضحية ملف لتثبيته، غالبا ما يسمى شيئا مثل "تحديث زووم SDK.scpt"، والذي ينفذ كود AppleScript خبيث. في حالات أخرى، يطلب من الضحايا نسخ ولصق إصلاح في طرفيتهم.

"غالبا ما يكون 'التحديث' عبارة عن 'تحديث زووم SDK.scpt' يفتح أو يعمل في AppleScript. هناك الكثير من المساحات الفارغة لإخفاء الشيفرة الخبيثة. وفي حالات أخرى، تنسخ وتلصق 'الإصلاح'. يقول إنه ناجح. لكن هذا لا يحل المشكلة. لذا في النهاية تعيد جدولة الموعد،" شرح موناهان.

ما لا يدركه الضحية هو أن البرمجيات الخبيثة نشطة بالفعل حيث يغزو السكربت الخبيث النظام بصمت ويبدأ في استخراج بيانات حساسة، وسرقة كلمات المرور، والمحافظ الرقمية المخزنة في المتصفح، وحتى الوصول الكامل إلى حساب المستخدم على تيليغرام.

كيفية منع الخسائر

كإجراء بعد الحادث، ينصح مونهان أي شخص قد يكون نقر على مثل هذا الرابط أو فتح ملفا مريبا بفصل الاتصال فورا بالواي فاي وإيقاف تشغيل الجهاز المتأثر. 

باستخدام جهاز منفصل غير مخترق، يجب على الضحايا نقل أصولهم الرقمية إلى محافظ جديدة، وتغيير جميع بيانات الدخول إلى بيانات الدخول، وتفعيل المصادقة الثنائية حيثما أمكن.

كما أكدت على أهمية إغلاق حسابات تيليغرام، ونصحت المستخدمين بتسجيل الدخول عبر الهاتف، والدخول إلى الإعدادات، وإنهاء جميع الجلسات النشطة ما عدا الحالية، وتغيير كلمة المرور، وتفعيل المصادقة متعددة العوامل.

والأهم من ذلك، حث مونهان الضحايا على تنبيه جهات الاتصال فورا، حيث يستخدم المهاجمون غالبا الوصول إلى حسابات تيليجرام لتحديد واستهداف الجولة التالية من الضحايا.

"إذا اخترقوا برقية الرسالة الخاصة بك، عليك أن تخبر الجميع بأسرع وقت ممكن. أنت على وشك اختراق أصدقائك [to] . أرجو أن تضع كبرياءك جانبا وتصرخ بشأنه،" أضافت.

متجه هجوم متكرر

يستخدم القراصنة الكوريون الشماليون، الذين يعتقد أنهم وراء بعض أكبر سرقات العملات الرقمية في السنوات الأخيرة، بما في ذلك اختراق بايبيت بقيمة 1.5 مليار دولار، بشكل متزايد استخدام هذه التكتيكات الخبيثة على زووم لاختراق أهداف بارزة طوال عام 2025.

إحدى هذه القضايا في سبتمبر تتعلق بجي بي ثور، المؤسس المشارك لشركة THORChain، الذي خسر حوالي 1.3 مليون دولار بعد وقعه في فخ عملية احتيال مماثلة. 

سكريبت خبيث تم تفعيله أثناء مكالمة زووم المزيفة وصل إلى تخزين iCloud الخاص به، واستخرج بيانات اعتماد محفظته في MetaMask، واستنزف الأموال، وكل ذلك دون تفعيل أي إشعارات أمنية أو تحذيرات من المسؤول.

بعيدا عن مكالمات زووم، استخدم هؤلاء القراصنة حتى وسائل هجوم معقدة أخرى، مثل تضمين برمجيات خبيثة مباشرة داخل عقود إيثيريوم وBNB الذكية لسحب العملات الرقمية بشكل خفي.