Hackerii nord-coreeni folosesc apeluri Zoom malițioase pentru a viza utilizatori crypto pe Telegram

Hackerii nord-coreeni folosesc tot mai mult întâlniri înșelătoare pe Zoom pentru a compromite victimele și a fura active cripto, potrivit organizației nonprofit de securitate cibernetică Security Alliance (SEAL).

Aceste întâlniri Zoom malițioase, care vizează adesea figuri criptografice de nivel înalt, au devenit o întâmplare zilnică, a avertizat echipa SEAL într-o postare recentă X.

"SEAL urmărește mai multe încercări ZILNICE ale actorilor nord-coreeni care folosesc tactici de 'Fake Zoom' pentru răspândirea malware-ului, precum și pentru a-și crește accesul la noi victime. "Ingineria socială este la baza atacului", a scris grupul.

Într-o postare separată publicată în aceeași zi, cercetătorul în securitate cibernetică Taylor Monahan a explicat că acest vector de atac a consumat deja peste 300 de milioane de dolari din portofelele utilizatorilor neavizați.

Hackerii nord-coreeni folosesc Zoom pentru a transmite scripturi malițioase

Escrocheria începe de obicei cu persoane rău-intenționate care iau legătura printr-un cont de Telegram care aparține cuiva cunoscut de victimă. 

Pentru că contul este familiar, victima este adormită într-un fals sentiment de încredere și, în cele din urmă, atrasă într-o conversație casual care duce la o invitație la un apel video pe Zoom.

Hackerii partajează apoi un link malițios deghizat să pară o invitație standard pe Zoom. Pe acea pagină, victimele pot vedea ceea ce pare a fi contactul lor, împreună cu presupusi colegi sau parteneri. 

Potrivit lui Monahan, acestea nu sunt deepfake-uri, ci videoclipuri reale înregistrate din atacuri anterioare sau surse publice precum podcasturi.

Odată ce apelul începe, hackerii pretind că au probleme audio și conving victima că este nevoie de un patch pentru a rezolva problema. 

Victimei i se trimite apoi un fișier de instalat, adesea denumit ceva de genul "Zoom Update SDK.scpt", care execută cod AppleScript malițios. În alte cazuri, victimelor li se cere să copieze și să lipească o soluție în terminalul lor.

"Actualizarea este adesea un 'Zoom Update SDK.scpt' care se deschide sau rulează în AppleScript. Există multe spații goale pentru a ascunde codul malițios. În alte cazuri, copiezi și lipești "soluția". Spune că are succes. Dar asta nu rezolvă problema. Așa că în cele din urmă ai reprogramat," a explicat Monahan.

Ceea ce victima nu realizează este că malware-ul este deja activ, deoarece scriptul malițios infectează silențios sistemul și începe să exfiltreze date sensibile, să fure parole, portofele cripto stocate în browser și chiar acces complet la contul de Telegram al utilizatorului.

Cum să previi pierderile

Ca măsură post-incident, Monahan recomandă oricui a dat click pe un astfel de link sau a deschis un fișier suspect să se deconecteze imediat de la WiFi și să oprească dispozitivul afectat. 

Folosind un dispozitiv separat, necompromis, victimele ar trebui să-și transfere activele cripto către portofele noi, să schimbe toate datele de autentificare și să activeze autentificarea în doi pași ori de câte ori este posibil.

De asemenea, a subliniat importanța blocării conturilor de Telegram, sfătuind utilizatorii să se conecteze prin telefon, să meargă la setări, să încheie toate sesiunile active cu excepția celei curente, să schimbe parola și să activeze autentificarea multifactor.

Cel mai important, Monahan a îndemnat victimele să-și alerteze imediat contactele, deoarece atacatorii folosesc adesea accesul la conturile Telegram pentru a identifica și viza următorul val de victime.

"Dacă îți sparg telegrama, trebuie să SPUI TUTUROR CÂT MAI REPEDE. Ești pe cale [to] să-ți hack-uiești prietenii. Te rog să lași mândria deoparte și să ȚIPI despre ea," a adăugat ea.

Un vector de atac recurent

Hackerii nord-coreeni, despre care se crede că sunt în spatele unora dintre cele mai mari furturi de criptomonede din ultimii ani, inclusiv atacul Bybit de 1,5 miliarde de dolari, au folosit tot mai mult aceste tactici malițioase Zoom pentru a se infiltra în ținte de profil înalt pe parcursul anului 2025.

Un astfel de caz, în septembrie, l-a implicat pe cofondatorul THORChain, JP Thor, care, se pare, a pierdut aproximativ 1,3 milioane de dolari după ce a căzut în capcana unei escrocherii similare. 

Un script malițios declanșat în timpul apelului fals pe Zoom a accesat stocarea sa iCloud, a extras datele de autentificare din portofelul MetaMask și a golit fonduri, toate acestea fără să declanșeze niciun semnal de securitate sau avertismente de administrator.

Dincolo de apelurile Zoom, acești hackeri au folosit chiar și alți vectori complexi de atac, cum ar fi încorporarea malware-ului direct în contractele inteligente Ethereum și BNB pentru a extrage pe furiș criptomonedele.