Gli hacker nordcoreani utilizzano chiamate Zoom malevole per colpire gli utenti crypto su Telegram

Gli hacker nordcoreani stanno sempre più utilizzando incontri Zoom ingannevoli per compromettere le vittime e rubare asset cripto, secondo l'organizzazione no-profit di cybersecurity Security Alliance (SEAL).

Questi incontri Zoom dannosi, che spesso prendono di mira figure di alto livello delle cripto, sono diventati un evento quotidiano, ha avvertito il team SEAL in un recente post su X.

"SEAL sta monitorando molteplici tentativi QUOTIDIANI da parte di attori nordcoreani che utilizzano tattiche di 'Fake Zoom' per diffondere malware e per aumentare l'accesso a nuove vittime. "L'ingegneria sociale è alla radice dell'attacco," ha scritto il gruppo.

In un post separato pubblicato lo stesso giorno, il ricercatore di cybersecurity Taylor Monahan ha spiegato che questo vettore di attacco ha già prosciugato oltre 300 milioni di dollari dai portafogli di utenti ignari.

Gli hacker nordcoreani usano Zoom per spingere script dannosi

La truffa di solito inizia con attori malintenzionati che si scambiano tramite un account Telegram appartenente a qualcuno che la vittima conosce.

Poiché il racconto è familiare, la vittima viene cullata in un falso senso di fiducia e alla fine trascinata in una conversazione informale che porta a un invito a una videochiamata su Zoom.

Gli hacker poi condividono un link malevolo mascherato per sembrare un invito Zoom standard. In quella pagina, le vittime possono vedere quello che sembra essere il loro contatto, insieme a presunti colleghi o partner.

Secondo Monahan, non si tratta di deepfake, ma di veri video registrati da precedenti attacchi o fonti pubbliche come podcast.

Una volta iniziata la chiamata, gli hacker fingono di avere problemi audio e convincono la vittima che è necessaria una patch per risolvere il problema.

Alla vittima viene quindi inviato un file da installare, spesso chiamato qualcosa come "Zoom Update SDK.scpt", che esegue codice AppleScript malevolo. In altri casi, alle vittime viene chiesto di copiare e incollare una correzione nel proprio terminale.

"L''aggiornamento' è spesso un 'Zoom Update SDK.scpt' che si apre o gira in AppleScript. Ci sono molti spazi vuoti per nascondere il codice malevolo. In altri casi copi e incolli la 'correzione'. Dice che ha successo. Ma non risolve il problema. Quindi alla fine rimandai," spiegò Monahan.

Quello che la vittima non si rende conto è che il malware è già attivo, poiché lo script malevolo infetta silenziosamente il sistema e inizia a esfiltrare dati sensibili, rubare password, wallet crypto salvate nel browser e persino l'accesso completo all'account Telegram dell'utente.

Come prevenire le perdite

Come misura post-incidente, Monahan consiglia a chiunque abbia cliccato su tale link o aperto un file sospetto di disconnettersi immediatamente dal WiFi e spegnere il dispositivo interessato.

Utilizzando un dispositivo separato e non compromesso, le vittime dovrebbero trasferire i propri asset crypto su nuovi portafogli, modificare tutte le credenziali di accesso e attivare l'autenticazione a due fattori ove possibile.

Ha inoltre sottolineato l'importanza di bloccare gli account Telegram, consigliare agli utenti di accedere tramite telefono, andare nelle impostazioni, terminare tutte le sessioni attive tranne quella attuale, cambiare la password e abilitare l'autenticazione multifattore.

Soprattutto, Monahan ha esortato le vittime ad avvisare immediatamente i loro contatti, poiché gli aggressori spesso utilizzano l'accesso agli account Telegram per identificare e colpire il prossimo gruppo di vite.

"Se hackerano il tuo telegramma, devi DIRLO A TUTTI IL PRIMA POSSIBILE. Stai per hackerare [to] tuoi amici. Per favore, metti da parte il tuo orgoglio e URLA su di esso," aggiunse.

Un vettore di attacco ricorrente

Gli hacker nordcoreani, ritenuti responsabili di alcuni dei più grandi furti di criptovalute degli ultimi anni, incluso l'attacco Bybit da 1,5 miliardi di dollari, hanno sempre più utilizzato queste tattiche maligne di Zoom per infiltrarsi obiettivi di alto profilo durante tutto il 2025.

Uno di questi casi a settembre ha coinvolto JP Thor, cofondatore di THORChain, che avrebbe perso circa 1,3 milioni di dollari dopo essere caduto in una truffa simile.

Uno script malevolo attivato durante la falsa chiamata Zoom ha acceso la sua memoria iCloud, estratto le credenziali del portafoglio MetaMask e prosciugato i fondi, tutto senza attivare alcun avviso di sicurezza o avviso amministrativo.

Oltre alle chiamate Zoom, questi hacker hanno persino impiegato altri vettori di attacco complessi, come l'inserimento di malware direttamente all'interno di Ethereum e smart contract BNB per sottrarre furtivamente criptovalute.