Noord-Koreaanse hackers gebruiken kwaadaardige Zoom-gesprekken om cryptogebruikers op Telegram te targeten

Noord-Koreaanse hackers gebruiken steeds vaker misleidende Zoom-vergaderingen om slachtoffers te compromitteren en crypto-activa te stelen, volgens de cybersecurity-nonprofitorganisatie Security Alliance (SEAL).

Deze kwaadaardige Zoom-vergaderingen, die vaak gericht zijn op hoge crypto-figuren, zijn een dagelijkse gebeurtenis geworden, waarschuwde het SEAL-team in een recent X-bericht.

"SEAL volgt meerdere DAGELIJKSE pogingen van Noord-Koreaanse actoren die 'Fake Zoom'-tactieken gebruiken om malware te verspreiden en hun toegang tot nieuwe slachtoffers te vergroten. Sociale engineering ligt aan de basis van de aanval," schreef de groep.

In een apart bericht dat dezelfde dag werd gepubliceerd, legde cybersecurityonderzoeker Taylor Monahan uit dat deze aanvalsvector al meer dan 300 miljoen dollar uit de portemonnees van nietsvermoedende gebruikers heeft weggetrokken.

Noord-Koreaanse hackers gebruiken Zoom om kwaadaardige scripts te pushen

De oplichting begint meestal met kwaadwillenden die contact opnemen via een Telegram-account dat toebehoort aan iemand die het slachtoffer kent.

Omdat het account bekend is, wordt het slachtoffer in een vals vertrouwen gewiegd en uiteindelijk meegesleurd in een informeel gesprek dat leidt tot een Zoom-videogesprek.

Hackers delen vervolgens een kwaadaardige link die eruitziet als een standaard Zoom-uitnodiging. Op die pagina kunnen slachtoffers zien wat lijkt op hun contact, samen met vermeende collega's of partners.

Volgens Monahan zijn dit geen deepfakes, maar echte video's die zijn opgenomen van eerdere hacks of openbaar beschikbare bronnen zoals podcasts.

Zodra het gesprek begint, doen de hackers alsof ze geluidsproblemen hebben en overtuigen ze het slachtoffer ervan dat er een patch nodig is om het probleem op te lossen.

Het slachtoffer krijgt vervolgens een bestand om te installeren, vaak met de naam "Zoom Update SDK.scpt", dat kwaadaardige AppleScript-code uitvoert. In andere gevallen wordt slachtoffers gevraagd een fix te kopiëren en plakken in hun terminal.

"De 'update' is vaak een 'Zoom Update SDK.scpt' die opent of draait in AppleScript. Er zijn veel lege plekken om de kwaadaardige code te verbergen. In andere gevallen kopieer en plak je de 'fix'. Er staat dat het succesvol is. Maar het lost het probleem niet op. Dus je verzet het uiteindelijk uit," legde Monahan uit.

Wat het slachtoffer niet beseft, is dat de malware al actief is, omdat het kwaadaardige script stilletjes het systeem infecteert en begint met het exfiltreren van gevoelige gegevens, het stelen van wachtwoorden, in de browser opgeslagen crypto wallets en zelfs volledige toegang tot het Telegram-account van de gebruiker.

Hoe verlies te voorkomen

Als maatregel na het incident adviseert Monahan iedereen die op zo'n link heeft geklikt of een verdacht bestand heeft geopend, om onmiddellijk de verbinding met wifi te maken en het getroffen apparaat uit te schakelen.

Met een apart, niet-gecompromitteerd apparaat moeten slachtoffers hun crypto-activa overzetten naar nieuwe wallets, alle inloggegevens wijzigen en waar mogelijk tweefactorauthenticatie activeren.

Ze benadrukte ook het belang van het vergrendelen van Telegram-accounts, adviseerde gebruikers om in te loggen via een telefoon, naar instellingen te gaan, alle actieve sessies behalve de huidige te beëindigen, het wachtwoord te wijzigen en multifactorauthenticatie in te schakelen.

Het belangrijkste was dat Monahan slachtoffers dringend aanspoorde om hun contacten direct te waarschuwen, omdat de aanvallers vaak toegang tot Telegram-accounts gebruiken om de volgende groep slachtoffers te identificeren en te targeten.

"Als ze je telegram hacken, moet je het zo snel mogelijk aan iedereen vertellen. Je bent van plan je vrienden [to] hacken. Zet alsjeblieft je trots opzij en SCHREEUW erover," voegde ze eraan toe.

Een terugkerende aanvalsvector

Noord-Koreaanse hackers, van wie wordt aangenomen dat ze achter enkele van de grootste cryptodiefstallen van de afgelopen jaren zitten, waaronder de Bybit-hack van 1,5 miljard dollar, gebruiken deze kwaadaardige Zoom-tactieken in 2025 steeds vaker om prominente doelwitten te infiltreren.

Een van die gevallen in september betrof THORChain-medeoprichter JP Thor, die naar verluidt ongeveer $1,3 miljoen verloor nadat hij in een soortgelijke oplichterij was gevallen.

Een kwaadaardig script dat tijdens het nep-Zoom-gesprek werd geactiveerd, opende zijn iCloud-opslag, haalde zijn MetaMask-walletgegevens uit en trok geld leeg, allemaal zonder beveiligingsmeldingen of admin-waarschuwingen.

Naast Zoom-gesprekken hebben deze hackers zelfs andere complexe aanvalsvectoren gebruikt, zoals het direct inbedden van malware in Ethereum en BNB smart contracts om cryptovaluta heimelijk af te sijpelen.