Hakerzy z Korei Północnej wykorzystują złośliwe połączenia na Zoomie, aby atakować użytkowników kryptowalut na Telegramie

Hakerzy z Korei Północnej coraz częściej wykorzystują zwodnicze spotkania na Zoomie do kompromitowania ofiar i kradzieży aktywów kryptowalutowych, według organizacji non-profit Security Alliance (SEAL) zajmującej się cyberbezpieczeństwem.

Te złośliwe spotkania na Zoomie, które często są skierowane do wysokopoziomowych osób kryptograficznych, stały się codziennością, ostrzegł zespół SEAL w niedawnym poście na X.

"SEAL śledzi wielokrotne CODZIENNE próby działań północnokoreańskich aktorów stosujących taktyki 'Fałszywego Zoomu' do rozprzestrzeniania złośliwego oprogramowania oraz eskalacji dostępu do nowych ofiar. U podstaw ataku leży inżynieria soczna" – napisała grupa.

W osobnym wpisie opublikowanym tego samego dnia badacz cyberbezpieczeństwa Taylor Monahan wyjaśnił, że ten wektor ataku już wyssał ponad 300 milionów dolarów z portfeli niczego nieświadomych użytkowników.

Hakerzy z Korei Północnej używają Zooma do wysyłania złośliwych skryptów

Oszustwo zwykle zaczyna się od tego, że nieuczciwi aktorzy kontaktują się przez konto na Telegramie należące do osoby znanej przez ofiarę.

Ponieważ relacja jest znajoma, ofiara zostaje uśpiona w fałszywe poczucie zaufania, a ostatecznie wciągana w luźną rozmowę, która prowadzi do zaproszenia na wideorozmowę na Zoomie.

Hakerzy następnie udostępniają złośliwy link udający standardowe zaproszenie na Zoom. Na tej stronie ofiary mogą zobaczyć coś, co wygląda na ich kontakt, wraz z rzekomymi współpracownikami lub partnerami.

Według Monahana nie są to deepfake'i, lecz prawdziwe filmy nagrane z wcześniejszych ataków lub publicznie dostępnych źródeł, takich jak podcasty.

Gdy rozmowa się rozpoczyna, hakerzy udają, że mają problemy z dźwiękiem i przekonują ofiarę, że potrzebna jest poprawka, by rozwiązać problem.

Ofiara otrzymuje wtedy plik do zainstalowania, często nazwany np. "Zoom Update SDK.scpt", który uruchamia złośliwy kod AppleScript. W innych przypadkach ofiary proszone są o skopiowanie poprawki do swojego terminala.

"Aktualizacja to często 'Zoom Update SDK.scpt', która otwiera się lub uruchamia w AppleScript. Jest wiele pustych miejsc, gdzie można ukryć złośliwy kod. W innych przypadkach kopiujesz i wklejasz "poprawkę". Mówi, że się udało. Ale to nie rozwiązuje problemu. Więc w końcu przełożysz spotkanie," wyjaśnił Monahan.

Ofiara nie zdaje sobie sprawy, że złośliwe oprogramowanie jest już aktywne, ponieważ złośliwy skrypt cicho infekuje system i zaczyna wydostawać wrażliwe dane, kradnąc hasła, przechowywane portfele kryptowalut przeglądarki, a nawet pełny dostęp do konta użytkownika na Telegramie.

Jak zapobiegać stratom

W ramach działania po incydencie Monahan radzi każdemu, kto kliknął w taki link lub otworzył podejrzany plik, aby natychmiast rozłączył się z WiFi i wyłączył dotknięte urządzenie.

Korzystając z osobnego, nienaruszonego urządzenia, ofiary powinny przenosić swoje aktywa kryptowalutowe do nowych portfeli, zmieniać wszystkie dane logowania i aktywować uwierzytelnianie dwuskładnikowe, gdzie to możliwe.

Podkreśliła także znaczenie zabezpieczenia kont Telegram, zalecała użytkownikom logowanie się przez telefon, wejście do ustawień, zakończenie wszystkich aktywnych sesji poza obecną, zmianę hasła oraz włączenie uwierzytelniania wieloskładnikowego.

Najważniejsze jest to, że Monahan wezwał ofiary do natychmiastowego powiadomienia swoich kontaktów, ponieważ napastnicy często wykorzystują dostęp do kont Telegram, aby zidentyfikować i zaatakować kolejną grupę ofiar.

"Jeśli zhakują twój telegram, musisz JAK NAJSZYBCIEJ WSZYSTKIM POWIEDZIEĆ. Masz zamiar [to] zhakować swoich przyjaciół. Proszę, odłóż dumę na bok i KRZYCZ na to," dodała.

Powtarzający się wektor ataku

Hakerzy z Korei Północnej, którzy są uważani za odpowiedzi za jedne z największych kradzieży kryptowalut w ostatnich latach, w tym za włamanie na Bybit warte 1,5 miliarda dolarów, coraz częściej wykorzystywali te złośliwe taktyki Zoom, aby infiltrować głośne cele w ciągu 2025 roku.

Jedna z takich spraw we wrześniu dotyczyła współzałożyciela THORChain, JP Thora, który podobno stracił około 1,3 miliona dolarów po podobnym oszustwie.

Złośliwy skrypt wywołany podczas fałszywej rozmowy na Zoomie uzyskał dostęp do jego miejsca przechowywania iCloud, wyodrębnił dane logowania portfela MetaMask i wyczerpał środki – wszystko to bez wywołania żadnych komunikatów bezpieczeństwa czy ostrzeżeń administratora.

Poza połączeniami Zoom, ci hakerzy stosowali także inne złożone wektory ataku, takie jak osadzanie złośliwego oprogramowania bezpośrednio w Ethereum i smart kontraktach BNB , aby potajemnie przesysać kryptowaluty.