Pohjoiskorealaiset hakkerit käyttävät haitallisia Zoom-puheluita kohdistaakseen kryptokäyttäjiin Telegramissa

Pohjoiskorealaiset hakkerit käyttävät yhä enemmän harhaanjohtavia Zoom-tapaamisia uhrien vaarantamiseen ja kryptovarojen varastamiseen, kertoo kyberturvallisuusjärjestö Security Alliance (SEAL).

Nämä haitalliset Zoom-kokoukset, jotka usein kohdistuvat korkean tason kryptohahmoihin, ovat muuttuneet päivittäisiksi, varoitti SEAL-tiimi äskettäisessä X-julkaisussaan.

"SEAL seuraa useita PÄIVITTÄISIÄ yrityksiä pohjoiskorealaisilta toimijoilta, jotka käyttävät 'Fake Zoom' -taktiikoita, levittääkseen haittaohjelmia sekä laajentaakseen pääsyään uusiin uhreihin. Sosiaalinen manipulointi on hyökkäyksen juuri," ryhmä kirjoitti.

Samana päivänä julkaistussa erillisessä kirjoituksessa kyberturvallisuustutkija Taylor Monahan selitti, että tämä hyökkäysvektori on jo imenyt yli 300 miljoonaa dollaria huomaamattomien käyttäjien lompakoista.

Pohjois-Korean hakkerit käyttävät Zoomia haitallisten skriptien levittämiseen

Huijaus alkaa yleensä siitä, että pahantahtoiset ottavat yhteyttä Telegram-tilin kautta, joka kuuluu henkilölle, jonka uhrin tuntema.

Koska kertomus on tuttu, uhri rauhoituu väärään luottamuksen tunteeseen ja lopulta vedetään rentoon keskusteluun, joka johtaa Zoom-videopuhelukutsuun.

Hakkerit jakavat sitten haitallisen linkin, joka on naamioitu näyttämään tavalliselta Zoom-kutsulta. Tällä sivulla uhrit voivat nähdä ilmeisesti heidän kontaktinsa sekä oletettuja kollegoita tai kumppaneita.

Monahanin mukaan nämä eivät ole deepfakeja, vaan aitoja videoita, jotka on tallennettu aiemmista hakkeroinneista tai julkisesti saatavilla olevista lähteistä, kuten podcasteista.

Kun puhelu alkaa, hakkerit teeskentelevät ääniongelmia ja vakuuttavat uhrin siitä, että korjaus tarvitaan ongelman ratkaisemiseksi.

Uhrille lähetetään sitten tiedosto asennettavaksi, usein nimeltään esimerkiksi "Zoom Update SDK.scpt", joka suorittaa haitallista AppleScript-koodia. Toisissa tapauksissa uhreja pyydetään kopioimaan ja liittämään korjaus päätelaitteeseensa.

"'Päivitys' on usein 'Zoom Update SDK.scpt', joka avautuu tai ajetaan AppleScriptissä. On paljon tyhjiä kohtia haitallisen koodin piilottamiseen. Toisissa tapauksissa kopioit ja liität 'korjauksen'. Siinä sanotaan, että se on onnistunut. Mutta se ei ratkaise ongelmaa. Joten lopulta siirrät ajan," Monahan selitti.

Uhri ei kuitenkaan ymmärrä, että haittaohjelma on jo aktiivinen, sillä haitallinen skripti hiljaisesti tartuttaa järjestelmää ja alkaa salakuljettaa arkaluonteisia tietoja, varastaa salasanoja, selaimeen tallennettuja kryptolompakot ja jopa täydellisen pääsyn käyttäjän Telegram-tilille.

Kuinka estää tappiot

Tapauksen jälkeisenä toimenpiteenä Monahan neuvoo kaikkia, jotka ovat saattaneet klikata tällaista linkkiä tai avata epäilyttävän tiedoston, katkaisemaan välittömästi WiFi-yhteyden ja sammuttamaan kyseisen laitteen.

Käyttämällä erillistä, kompromissimatonta laitetta uhrien tulisi siirtää kryptovaransa uusiin lompakoihin, vaihtaa kaikki kirjautumistiedot ja aktivoida kaksivaiheinen tunnistautuminen aina kun mahdollista.

Hän korosti myös Telegram-tilien sulkemisen tärkeyttä, neuvoi käyttäjiä kirjautumaan sisään puhelimella, menemään asetuksiin, lopettamaan kaikki aktiiviset istunnot paitsi nykyisen, vaihtamaan salasanan ja ottamaan käyttöön monivaiheisen tunnistautumisen.

Tärkeintä on, että Monahan kehotti uhreja ilmoittamaan kontakteilleen välittömästi, sillä hyökkääjät käyttävät usein pääsyä Telegram-tileihin tunnistaakseen ja kohdistaakseen seuraavan uhrikierroksen.

"Jos he hakkeroivat telegrammisi, sinun täytyy KERTOA KAIKILLE MAHDOLLISIMMAN PIAN. Olet [to] hakkeroimassa ystäviäsi. Ole hyvä ja laita ylpeytesi sivuun ja HUUDA siitä," hän lisäsi.

Toistuva hyökkäysvektori

Pohjoiskorealaiset hakkerit, joiden uskotaan olevan viime vuosien suurimpien kryptovarkausten takana, mukaan lukien 1,5 miljardin dollarin Bybit-hakkerointi, ovat yhä useammin käyttäneet näitä haitallisia Zoom-taktiikoita soluttautuakseen korkean profiilin kohteisiin vuoden 2025 aikana.

Yksi syyskuun tapauksista koski THORChainin perustajajäsentä JP Thoria, jonka kerrotaan menettäneen noin 1,3 miljoonaa dollaria lankestuaan samankaltaiseen huijaukseen.

Väärennetyn Zoom-puhelun aikana laukaistu haitallinen skripti pääsi hänen iCloud-tallennustilaansa, purki hänen MetaMask-lompakkotunnuksensa ja tyhjensi varoja, kaikki ilman mitään tietoturvakehotuksia tai ylläpitäjän varoituksia.

Zoom-puheluiden lisäksi nämä hakkerit ovat käyttäneet myös muita monimutkaisia hyökkäysvektoreita, kuten haittaohjelmien upottamista suoraan Ethereumiin ja BNB:n älysopimuksiin salaa kryptovaluuttojen sifonimiseksi.