Nordkoreanska hackare använder skadliga Zoom-samtal för att rikta in sig på kryptoanvändare på Telegram

Nordkoreanska hackare använder i allt högre grad vilseledande Zoom-möten för att kompromettera offer och stjäla kryptotillgångar, enligt cybersäkerhetsorganisationen Security Alliance (SEAL).

Dessa skadliga Zoom-möten, som ofta riktar sig mot högt uppsatta kryptopersoner, har blivit en daglig företeelse, varnade SEAL-teamet i ett nyligen publicerat X-inlägg.

"SEAL följer flera DAGLIGA försök av nordkoreanska aktörer som använder 'Fake Zoom'-taktiker för att sprida skadlig kod samt för att öka deras tillgång till nya offer. Social ingenjörskonst ligger till grund för attacken," skrev gruppen.

I ett separat inlägg publicerat samma dag förklarade cybersäkerhetsforskaren Taylor Monahan att denna attackvektor redan har dränerat över 300 miljoner dollar från plånböckerna hos intet ont anande användare.

Nordkoreanska hackare använder Zoom för att sprida skadliga skript

Bedrägeriet börjar oftast med att illasinnade aktörer söker kontakt via ett Telegram-konto som tillhör någon offret känner.

Eftersom kontot är bekant vaggas offret in i en falsk känsla av förtroende och dras så småningom in i ett avslappnat samtal som leder till en inbjudan till ett videosamtal via Zoom.

Hackare delar sedan en skadlig länk som är förklädd att se ut som en vanlig Zoom-inbjudan. På den sidan kan offren se vad som verkar vara deras kontakt, tillsammans med påstådda kollegor eller partners.

Enligt Monahan är detta inte deepfakes utan riktiga videor inspelade från tidigare hack eller offentligt tillgängliga källor som poddar.

När samtalet väl börjar låtsas hackarna ha ljudproblem och övertygar offret om att en patch behövs för att lösa problemet.

Offret får sedan en fil att installera, ofta kallad något i stil med "Zoom Update SDK.scpt", som kör skadlig AppleScript-kod. I andra fall ombeds offren kopiera och klistra in en fix i sin terminal.

"'Uppdateringen' är ofta en 'Zoom Update SDK.scpt' som öppnas eller körs i AppleScript. Det finns många tomma utrymmen för att dölja den skadliga koden. I andra fall kopierar och klistrar du in 'fixen'. Den säger att den är framgångsrik. Men det löser inte problemet. Så du bokar om till slut," förklarade Monahan.

Vad offret inte inser är att skadlig kod redan är aktiv eftersom det skadliga skriptet tyst infekterar systemet och börjar exfiltrera känslig data, stjäla lösenord, webbläsarlagrade kryptoplånböcker och till och med full tillgång till användarens Telegram-konto.

Hur man förebygger förluster

Som en åtgärd efter incidenten råder Monahan alla som kan ha klickat på en sådan länk eller öppnat en misstänkt fil att omedelbart koppla bort WiFi och stänga av den drabbade enheten.

Med en separat, okomprometterad enhet bör offer överföra sina kryptotillgångar till nya plånböcker, ändra alla inloggningsuppgifter och aktivera tvåfaktorsautentisering där det är möjligt.

Hon betonade också vikten av att låsa Telegram-konton, och rådde användare att logga in via telefon, gå till inställningar, avsluta alla aktiva sessioner utom den aktuella, byta lösenord och aktivera multifaktorautentisering.

Viktigast av allt uppmanade Monahan offren att omedelbart meddela sina kontakter, eftersom angriparna ofta använder tillgång till Telegram-konton för att identifiera och rikta in sig på nästa omgång offer.

"Om de hackar ditt telegram måste du BERÄTTA FÖR ALLA SÅ SNART SOM MÖJLIGT. Du är på väg [to] hacka dina vänner. Snälla, lägg din stolthet åt sidan och SKRIK om det," lade hon till.

En återkommande attackvektor

Nordkoreanska hackare, som tros ligga bakom några av de största kryptostölderna på senare år, inklusive Bybit-hacket på 1,5 miljarder dollar, har i allt högre grad använt dessa illvilliga Zoom-taktiker för att infiltrera högprofilerade mål under hela 2025.

Ett sådant fall i september involverade THORChain-medgrundaren JP Thor, som enligt uppgift förlorade omkring 1,3 miljoner dollar efter att ha fallit för en liknande bluff.

Ett skadligt skript som aktiverades under det falska Zoom-samtalet fick tillgång till hans iCloud-lagring, extraherade hans MetaMask-plånboksuppgifter och tömde medel, allt utan att utlösa några säkerhetsvarningar eller administratörsvarningar.

Utöver Zoom-samtal har dessa hackare till och med använt andra komplexa attackvektorer, såsom att bädda in skadlig kod direkt i Ethereum och BNB:s smarta kontrakt för att smygande suga ut kryptovalutor.