Nordkoreanske hackere bruker ondsinnede Zoom-samtaler for å målrette kryptobrukere på Telegram

Nordkoreanske hackere bruker i økende grad villedende Zoom-møter for å kompromittere ofre og stjele kryptoeiendeler, ifølge cybersikkerhetsorganisasjonen Security Alliance (SEAL).

Disse ondsinnede Zoom-møtene, som ofte retter seg mot høytstående kryptoprofiler, har blitt en daglig hendelse, advarte SEAL-teamet i et nylig innlegg i X.

"SEAL sporer flere DAGLIGE forsøk fra nordkoreanske aktører som bruker 'Fake Zoom'-taktikker for å spre skadelig programvare samt eskalere tilgangen til nye ofre. Sosial ingeniørkunst ligger til grunn for angrepet,» skrev gruppen.

I et eget innlegg publisert samme dag forklarte cybersikkerhetsforsker Taylor Monahan at denne angrepsvektoren allerede har tappet over 300 millioner dollar fra lommebøkene til intetanende brukere.

Nordkoreanske hackere bruker Zoom for å spre ondsinnede skript

Svindelen starter vanligvis med at dårlige aktører tar kontakt via en Telegram-konto som tilhører noen offeret kjenner.

Fordi kontoen er kjent, blir offeret lullet inn i en falsk følelse av tillit og til slutt trukket inn i en uformell samtale som fører til en Zoom-videosamtale-invitasjon.

Hackere deler deretter en ondsinnet lenke forkledd for å se ut som en standard Zoom-invitasjon. På den siden kan ofrene se det som ser ut til å være deres kontakt, sammen med antatte kolleger eller partnere.

Ifølge Monahan er dette ikke deepfakes, men ekte videoer tatt opp fra tidligere hacks eller offentlig tilgjengelige kilder som podkaster.

Når samtalen starter, later hackerne som om de har lydproblemer og overbeviser offeret om at en oppdatering er nødvendig for å løse problemet.

Offeret får deretter tilsendt en fil som skal installeres, ofte kalt noe som "Zoom Update SDK.scpt", som kjører ondsinnet AppleScript-kode. I andre tilfeller blir ofrene bedt om å kopiere og lime inn en løsning i terminalen sin.

"'Oppdateringen' er ofte en 'Zoom Update SDK.scpt' som åpner eller kjører i AppleScript. Det er mange tomme felter for å skjule den ondsinnede koden. I andre tilfeller kopierer og limer du inn 'fiksen'. Det står at den er vellykket. Men det løser ikke problemet. Så du ombestemmer til slutt," forklarte Monahan.

Det offeret ikke er klar over, er at skadevaren allerede er aktiv, ettersom det ondsinnede skriptet stille infiserer systemet og begynner å eksfiltrere sensitiv data, stjele passord, nettleserlagret krypto lommebøker og til og med full tilgang til brukerens Telegram-konto.

Hvordan forhindre tap

Som et tiltak etter hendelsen råder Monahan alle som kan ha klikket på en slik lenke eller åpnet en mistenkelig fil, til umiddelbart å koble fra WiFi og slå av den berørte enheten.

Ved å bruke en separat, ukompromittert enhet bør ofrene overføre sine kryptoeiendeler til nye lommebøker, endre alle innloggingsopplysninger og aktivere tofaktorautentisering der det er mulig.

Hun understreket også viktigheten av å låse ned Telegram-kontoer, og rådet brukere til å logge inn via telefon, gå til innstillinger, avslutte alle aktive økter unntatt den nåværende, endre passordet og aktivere multifaktorautentisering.

Viktigst av alt oppfordret Monahan ofrene til å varsle sine kontakter umiddelbart, ettersom angriperne ofte bruker tilgang til Telegram-kontoer for å identifisere og målrette neste runde med ofre.

"Hvis de hacker telegrammet ditt, må du FORTELLE ALLE SÅ SNART SOM MULIG. Du er i ferd med [to] hacke vennene dine. Vennligst legg stoltheten til side og SKRIK om det," la hun til.

En gjentakende angrepsvektor

Nordkoreanske hackere, som antas å stå bak noen av de største kryptotyveriene de siste årene, inkludert Bybit-hacket på 1,5 milliarder dollar, har i økende grad brukt disse ondsinnede Zoom-taktikkene for å infiltrere profilerte mål gjennom hele 2025.

En slik sak i september involverte THORChain-medgründer JP Thor, som angivelig tapte rundt 1,3 millioner dollar etter å ha falt for en lignende svindel.

Et ondsinnet skript utløst under den falske Zoom-samtalen fikk tilgang til iCloud-lagringen hans, hentet ut MetaMask-lommebokens legitimasjon og tømte midler, alt uten å utløse noen sikkerhetsmeldinger eller adminadvarsler.

Utover Zoom-samtaler har disse hackerne til og med brukt andre komplekse angrepsvektorer, som å integrere skadelig programvare direkte i Ethereum og BNB smarte kontrakter for å snike til seg kryptovalutaer.