Nordkoreanske hackere bruger ondsindede Zoom-opkald til at målrette kryptobrugere på Telegram

Nordkoreanske hackere bruger i stigende grad vildledende Zoom-møder til at kompromittere ofre og stjæle kryptoaktiver, ifølge cybersikkerhedsorganisationen Security Alliance (SEAL).

Disse ondsindede Zoom-møder, som ofte retter sig mod højtstående kryptopersoner, er blevet en daglig begivenhed, advarede SEAL-teamet i et nyligt X-indlæg.

"SEAL følger flere DAGLIGE forsøg fra nordkoreanske aktører, der bruger 'Fake Zoom'-taktikker til at sprede malware samt eskalere deres adgang til nye ofre. Social ingeniørkunst er roden til angrebet," skrev gruppen.

I et separat indlæg offentliggjort samme dag forklarede cybersikkerhedsforsker Taylor Monahan, at denne angrebsvektor allerede har drænet over 300 millioner dollars fra tegnebøgerne hos intetanende brugere.

Nordkoreanske hackere bruger Zoom til at sprede ondsindede scripts

Svindlen starter som regel med, at dårlige aktører kontakter dem via en Telegram-konto, der tilhører en, offeret kender.

Fordi kontoen er velkendt, bliver offeret lullet ind i en falsk tillid og til sidst trukket ind i en afslappet samtale, der fører til en invitation til et Zoom-videoopkald.

Hackere deler derefter et ondsindet link, der er forklædt som en standard Zoom-invitation. På den side kan ofrene se, hvad der ligner deres kontakt, sammen med formodede kolleger eller partnere.

Ifølge Monahan er disse ikke deepfakes, men rigtige videoer optaget fra tidligere hacks eller offentligt tilgængelige kilder som podcasts.

Når opkaldet begynder, lader hackerne som om de har lydproblemer og overbeviser offeret om, at en patch er nødvendig for at løse problemet.

Offeret får derefter tilsendt en fil, der skal installeres, ofte kaldet noget i retning af "Zoom Update SDK.scpt", som udfører ondsindet AppleScript-kode. I andre tilfælde bliver ofrene bedt om at kopiere og indsætte en fix i deres terminal.

"'Opdateringen' er ofte en 'Zoom Update SDK.scpt', som åbner eller kører i AppleScript. Der er mange tomme felter til at skjule den ondsindede kode. I andre tilfælde kopierer og indsætter du 'rettelsen'. Den siger, at den er succesfuld. Men det løser ikke problemet. Så du omlægger til sidst," forklarede Monahan.

Hvad offeret ikke er klar over, er, at malwaren allerede er aktiv, da det ondsindede script lydløst inficerer systemet og begynder at exfiltrere følsomme data, stjæle adgangskoder, browsergemte krypto wallets og endda fuld adgang til brugerens Telegram-konto.

Sådan forebygger man tab

Som en foranstaltning efter hændelsen råder Monahan alle, der måtte have klikket på et sådant link eller åbnet en mistænkelig fil, til straks at afbryde forbindelsen til WiFi og slukke for den berørte enhed.

Ved at bruge en separat, ikke-kompromitteret enhed bør ofrene overføre deres kryptoaktiver til nye wallets, ændre alle loginoplysninger og aktivere tofaktorautentificering, hvor det er muligt.

Hun understregede også vigtigheden af at låse Telegram-konti og rådede brugere til at logge ind via telefon, gå til indstillinger, afslutte alle aktive sessioner undtagen den aktuelle, ændre adgangskoden og aktivere multifaktorautentificering.

Mest kritisk opfordrede Monahan ofrene til straks at advare deres kontakter, da angriberne ofte bruger adgang til Telegram-konti til at identificere og målrette næste runde ofre.

"Hvis de hacker dit telegram, skal du FORTÆLLE ALLE DET SÅ HURTIGT SOM MULIGT. Du er ved [to] hacke dine venner. Læg venligst din stolthed til side og SKRIG om det," tilføjede hun.

En tilbagevendende angrebsvektor

Nordkoreanske hackere, som menes at stå bag nogle af de største kryptotyverier i de senere år, herunder Bybit-hacket til 1,5 milliarder dollars, har i stigende grad brugt disse ondsindede Zoom-taktikker til at infiltrere højtprofilerede mål gennem hele 2025.

En sådan sag i september involverede THORChain-medstifter JP Thor, som angiveligt tabte omkring 1,3 millioner dollars efter at være faldet for en lignende fidus.

Et ondsindet script, der blev udløst under det falske Zoom-opkald, fik adgang til hans iCloud-lager, udtrak hans MetaMask-wallet-oplysninger og tømte midler, alt sammen uden at udløse nogen sikkerhedsprompts eller adminadvarsler.

Ud over Zoom-opkald har disse hackere endda anvendt andre komplekse angrebsvektorer, såsom at indlejre malware direkte i Ethereum og BNB smart contracts for diskret at suge kryptovalutaer væk.