Penggodam Korea Utara menggunakan panggilan Zoom berniat jahat untuk menyasarkan pengguna kripto di Telegram

Penggodam Korea Utara semakin menggunakan mesyuarat Zoom yang menipu untuk menjejaskan mangsa dan mencuri aset kripto, menurut Perikatan Keselamatan bukan untung keselamatan siber (SEAL).

Mesyuarat Zoom yang berniat jahat ini, yang sering menyasarkan tokoh kripto peringkat tinggi, telah menjadi kejadian harian, pasukan SEAL memberi amaran dalam catatan X baru-baru ini.

"SEAL menjejaki pelbagai percubaan HARIAN oleh pelakon Korea Utara menggunakan taktik 'Fake Zoom' untuk menyebarkan perisian hasad serta meningkatkan akses mereka kepada mangsa baharu. Kejuruteraan sosial adalah punca serangan itu," tulis kumpulan itu.

Dalam catatan berasingan yang diterbitkan pada hari yang sama, penyelidik keselamatan siber Taylor Monahan menjelaskan bahawa vektor serangan ini telah mengalirkan lebih $300 juta daripada dompet pengguna yang tidak curiga.

Penggodam Korea Utara menggunakan Zoom untuk menolak skrip berniat jahat

Penipuan biasanya bermula dengan pelaku jahat yang menghubungi melalui akaun Telegram milik seseorang yang dikenali mangsa. 

Oleh kerana akaun itu biasa, mangsa terbuai ke dalam rasa kepercayaan palsu dan akhirnya ditarik ke dalam perbualan santai yang membawa kepada jemputan panggilan video Zoom.

Penggodam kemudian berkongsi pautan berniat jahat yang menyamar untuk kelihatan seperti jemputan Zoom standard. Pada halaman itu, mangsa mungkin melihat apa yang kelihatan seperti kenalan mereka, bersama-sama dengan rakan sekerja atau rakan kongsi yang sepatutnya. 

Menurut Monahan, ini bukan deepfake tetapi video sebenar yang dirakam daripada penggodaman terdahulu atau sumber yang tersedia untuk umum seperti podcast.

Sebaik sahaja panggilan bermula, penggodam berpura-pura mempunyai masalah audio dan meyakinkan mangsa bahawa tampalan diperlukan untuk menyelesaikan isu tersebut. 

Mangsa kemudiannya dihantar fail untuk dipasang, selalunya dinamakan sesuatu seperti "Kemas Kini Zum SDK.scpt", yang melaksanakan kod AppleScript yang berniat jahat. Dalam kes lain, mangsa diminta untuk menyalin dan menampal pembetulan ke dalam terminal mereka.

"'Kemas kini' selalunya ialah 'Zoom Update SDK.scpt' yang dibuka atau dijalankan dalam AppleScript. Terdapat banyak ruang kosong untuk menyembunyikan kod berniat jahat. Dalam kes lain, anda menyalin dan menampal 'pembetulan.' Ia mengatakan ia berjaya. Tetapi ia tidak menyelesaikan isu itu. Jadi anda akhirnya menjadualkan semula," jelas Monahan.

Apa yang mangsa tidak sedar ialah perisian hasad sudah aktif kerana skrip berniat jahat secara senyap-senyap menjangkiti sistem dan mula menyumbat data sensitif, mencuri kata laluan, dompet kripto yang disimpan penyemak imbas, dan juga akses penuh kepada akaun Telegram pengguna.

Bagaimana untuk mengelakkan kerugian

Sebagai langkah selepas kejadian, Monahan menasihati sesiapa sahaja yang mungkin telah mengklik pautan sedemikian atau membuka fail yang mencurigakan untuk segera memutuskan sambungan daripada WiFi dan mematikan peranti yang terjejas. 

Menggunakan peranti yang berasingan dan tidak terjejas, mangsa harus memindahkan aset kripto mereka ke dompet baharu, menukar semua kelayakan log masuk dan mengaktifkan pengesahan dua faktor seboleh mungkin.

Dia juga menekankan kepentingan mengunci akaun Telegram, menasihati pengguna untuk log masuk melalui telefon, pergi ke tetapan, menamatkan semua sesi aktif kecuali sesi semasa, menukar kata laluan dan mendayakan pengesahan berbilang faktor.

Paling kritikal, Monahan menggesa mangsa untuk memaklumkan kenalan mereka dengan segera, kerana penyerang sering menggunakan akses kepada akaun Telegram untuk mengenal pasti dan menyasarkan pusingan mangsa seterusnya.

" Jika mereka menggodam telegram anda, anda perlu BERITAHU SEMUA ORANG SECEPAT MUNGKIN. Anda akan [to] menggodam rakan anda. Tolong ketepikan kebanggaan anda dan JERIT mengenainya," tambahnya.

Vektor serangan berulang

Penggodam Korea Utara, yang dipercayai berada di sebalik beberapa kecurian kripto terbesar dalam beberapa tahun kebelakangan ini, termasuk penggodaman Bybit bernilai $1.5 bilion, semakin menggunakan taktik Zoom berniat jahat ini untuk menyusup ke sasaran berprofil tinggi sepanjang 2025.

Satu kes sedemikian pada bulan September melibatkan pengasas bersama THORChain JP Thor, yang dilaporkan kehilangan sekitar $1.3 juta selepas terkena penipuan yang serupa. 

Skrip berniat jahat yang dicetuskan semasa panggilan Zoom palsu mengakses storan iCloudnya, mengekstrak kelayakan dompet MetaMasknya dan menghabiskan dana, semuanya tanpa mencetuskan sebarang gesaan keselamatan atau amaran pentadbir.

Di luar panggilan Zoom, penggodam ini juga telah menggunakan vektor serangan kompleks lain, seperti membenamkan perisian hasad secara langsung dalam kontrak pintar Ethereum dan BNB untuk menyedut mata wang kripto secara senyap-senyap.