Nordkoreanische Hacker nutzen bösartige Zoom-Anrufe, um Krypto-Nutzer auf Telegram ins Visier zu nehmen

Nordkoreanische Hacker nutzen laut der Cybersicherheits-Nonprofit-Organisation Security Alliance (SEAL) zunehmend irreführende Zoom-Meetings, um Opfer zu kompromittieren und Krypto-Vermögenswerte zu stehlen.

Diese bösartigen Zoom-Meetings, die oft hochrangige Krypto-Persönlichkeiten ins Visier nehmen, sind laut dem SEAL-Team in einem kürzlichen X-Beitrag zur Tagesordnung geworden.

"SEAL verfolgt mehrere TÄGLICHE Versuche nordkoreanischer Akteure, die 'Fake Zoom'-Taktiken nutzen, um Malware zu verbreiten und ihren Zugang zu neuen Opfern zu erhöhen. Soziale Manipulation ist die Wurzel des Angriffs", schrieb die Gruppe.

In einem separaten Beitrag , der am selben Tag veröffentlicht wurde, erklärte der Cybersicherheitsforscher Taylor Monahan, dass dieser Angriffsvektor bereits über 300 Millionen Dollar aus den Geldbörsen ahnungsloser Nutzer abgezogen hat.

Nordkoreanische Hacker nutzen Zoom, um bösartige Skripte zu pushen

Der Betrug beginnt meist damit, dass böswillige Akteure über ein Telegram-Konto Kontakt aufnehmen, das jemandem gehört, den das Opfer kennt.

Da der Account vertraut ist, wird das Opfer in ein falsches Vertrauen gewiegt und schließlich in ein lockeres Gespräch hineingezogen, das zu einer Zoom-Videoanruf-Einladung führt.

Hacker teilen dann einen bösartigen Link, der wie eine Standard-Zoom-Einladung getarnt ist. Auf dieser Seite können Opfer sehen, was wie ihr Kontakt aussieht, zusammen mit angeblichen Kollegen oder Partnern.

Laut Monahan handelt es sich dabei nicht um Deepfakes, sondern um echte Videos, die von früheren Hacks oder öffentlich zugänglichen Quellen wie Podcasts aufgenommen wurden.

Sobald der Anruf beginnt, geben die Hacker vor, Audioprobleme zu haben, und überzeugen das Opfer davon, dass ein Patch nötig ist, um das Problem zu beheben.

Das Opfer erhält dann eine Datei zur Installation zugeschickt, oft mit dem Namen "Zoom Update SDK.scpt", die bösartigen AppleScript-Code ausführt. In anderen Fällen werden die Opfer gebeten, eine Lösung in ihr Terminal zu kopieren und einzufügen.

"Das 'Update' ist oft ein 'Zoom Update SDK.scpt', das sich in AppleScript öffnet oder ausführt. Es gibt viele leere Flächen, um den bösartigen Code zu verstecken. In anderen Fällen kopiert und fügt man die 'Korrektur' ein. Es heißt, es sei erfolgreich. Aber das löst das Problem nicht. Also hast du irgendwann einen neuen Termin gemacht", erklärte Monahan.

Was das Opfer nicht bemerkt, ist, dass die Malware bereits aktiv ist, da das bösartige Skript das System lautstark infiziert und damit beginnt, sensible Daten zu exfiltrieren, Passwörter zu stehlen, im Browser gespeicherte Krypto Wallets zu stiehlen und sogar vollen Zugriff auf das Telegram-Konto des Nutzers zu erhalten.

Wie man Verluste verhindert

Als Maßnahme nach dem Vorfall rät Monahan jedem, der auf einen solchen Link geklickt oder eine verdächtige Datei geöffnet hat, sich sofort vom WLAN zu trennen und das betroffene Gerät auszuschalten.

Mit einem separaten, nicht kompromittierten Gerät sollten Opfer ihre Krypto-Vermögenswerte auf neue Wallets übertragen, alle Zugangsdaten ändern und wo immer möglich die Zwei-Faktor-Authentifizierung aktivieren.

Sie betonte außerdem die Bedeutung der Sperrung von Telegram-Konten, riet den Nutzern, sich per Telefon anzumelden, in die Einstellungen zu gehen, alle aktiven Sitzungen außer der aktuellen zu beenden, das Passwort zu ändern und Multifaktor-Authentifizierung zu aktivieren.

Am wichtigsten war, dass Monahan die Opfer aufforderte, ihre Kontakte sofort zu informieren, da die Angreifer oft den Zugang zu Telegram-Konten nutzen, um die nächste Opfergruppe zu identifizieren und anzugreifen.

"Wenn sie dein Telegramm hacken, musst du es so schnell wie möglich allen sagen. Du bist dabei, deine Freunde [to] hacken. Bitte legen Sie Ihren Stolz beiseite und SCHREIEN Sie deswegen", fügte sie hinzu.

Ein wiederkehrender Angriffsvektor

Nordkoreanische Hacker, von denen angenommen wird, dass sie hinter einigen der größten Krypto-Diebstähle der letzten Jahre stehen, darunter der 1,5-Milliarden-Dollar-Hack von Bybit, nutzen diese bösartigen Zoom-Taktiken im Jahr 2025 zunehmend, um hochkarätige Ziele zu infiltrieren.

Ein solcher Fall im September betraf THORChain-Mitbegründer JP Thor, der Berichten zufolge etwa 1,3 Millionen Dollar verlor, nachdem er auf einen ähnlichen Betrug hereingefallen war.

Ein bösartiges Skript, das während des gefälschten Zoom-Calls ausgelöst wurde, griff auf seinen iCloud-Speicher zu, extrahierte seine MetaMask-Wallet-Zugangsdaten und entleerte Gelder – und das alles, ohne Sicherheitshinweise oder Admin-Warnungen auszulösen.

Über Zoom-Anrufe hinaus haben diese Hacker sogar andere komplexe Angriffsvektoren eingesetzt, wie etwa das Einbetten von Malware direkt in Ethereum und BNB Smart Contracts , um Kryptowährungen heimlich abzulenken.