Kuzey Koreli hackerlar, Telegram'da kripto kullanıcılarını hedef almak için kötü niyetli Zoom çağrıları kullanıyor

Kuzey Koreli hackerlar, siber güvenlik sivil toplumu Security Alliance (SEAL)'e göre, mağdurları tehlikeye atmak ve kripto varlıklarını çalmak için giderek daha fazla aldatıcı Zoom toplantılarını kullanıyor.

SEAL ekibi, genellikle üst düzey kripto figürlerini hedef alan bu kötü niyetli Zoom toplantılarının günlük bir hale geldiğini belirtti.

"SEAL, Kuzey Koreli aktörlerin 'Sahte Zoom' taktikleri kullanarak zararlı yazılım yaymak ve yeni kurbanlara erişimlerini artırmak için GÜNLÜK olarak birçok girişimini takip ediyor. Saldırının kökeninde sosyal mühendislik var," diye yazdı grup.

Aynı gün yayımlanan ayrı bir yazıda , siber güvenlik araştırmacısı Taylor Monahan bu saldırı vektörünün habersiz kullanıcıların cüzdanlarından şimdiden 300 milyon dolardan fazla para çektiğini açıkladı.

Kuzey Koreli hackerlar Zoom'u kullanarak kötü amaçlı script yayınlıyor

Dolandırıcılık genellikle kötü niyetli kişilerin mağdurun tanıdığı birine ait bir Telegram hesabı üzerinden ulaşmasıyla başlar. 

Anlatım tanıdık olduğu için, mağdur sahte bir güven duygusuna kapılır ve sonunda Zoom video görüşmesi davetiyle sonuçlanan sıradan bir sohbete çekilir.

Hackerlar daha sonra standart bir Zoom davetiyesi gibi gizlenmiş kötü amaçlı bir bağlantı paylaşıyor. O sayfada, mağdurlar kendi temas bağlantılarını ve sözde meslektaşları veya partnerlerini görebilirler. 

Monahan'a göre, bunlar deepfake değil, önceki hacklerden veya podcast gibi kamuya açık kaynaklardan kaydedilmiş gerçek videolar.

Arama başladığında, hackerlar ses sorunları varmış gibi davranır ve mağduru sorunu çözmek için bir yamaya ihtiyaç duyulduğuna ikna ederler. 

Mağdura kurulum için genellikle "Zoom Update SDK.scpt" gibi bir isim verilen ve zararlı AppleScript kodunu çalıştıran bir dosya gönderilir. Diğer durumlarda, mağdurlardan bir düzeltmeyi terminallerine kopyalayıp yapıştırmaları istenir.

"'Güncelleme' genellikle AppleScript'te açılan veya çalışan bir 'Zoom Update SDK.scpt' şeklindedir. Kötü amaçlı kodu gizlemek için birçok boş alan var. Diğer durumlarda ise 'düzeltme'yi kopyalayıp yapıştırıyorsunuz. Başarılı olduğunu söylüyor. Ama sorunu çözmüyor. Sonunda yeniden planlıyorsun," diye açıkladı Monahan.

Kurbanın fark etmediği şey, kötü amaçlı yazılımın zaten aktif olduğudur; kötü amaçlı betik sistemi sessizce enfekte eder ve hassas verileri sızdırmaya, şifreleri, tarayıcıda saklanan kripto cüzdanlarını ve hatta kullanıcının Telegram hesabına tam erişim sağlar.

Kayıpları nasıl önleyebilirim

Olay sonrası bir önlem olarak, Monahan böyle bir bağlantıya tıklamış veya şüpheli bir dosya açmış olabilecek herkese hemen WiFi'dan kopup etkilenen cihazı kapatmasını tavsiye eder. 

Ayrı ve tehlikesiz bir cihaz kullanarak, mağdurlar kripto varlıklarını yeni cüzdanlara aktarmalı, tüm giriş bilgilerini değiştirmeli ve mümkün olduğunca iki faktörlü kimlik doğrulamayı etkinleştirmelidir.

Ayrıca Telegram hesaplarının kilitlenmesinin önemini vurguladı, kullanıcılara telefonla giriş yapmalarını, ayarlara gitmelerini, mevcut oturum hariç tüm aktif oturumları sonlandırmalarını, şifreyi değiştirmelerini ve çok faktörlü kimlik doğrulamayı etkinleştirmelerini tavsiye etti.

En kritik olarak, Monahan mağdurları hemen iletişim kurmalarını uyarmaya çağırdı; çünkü saldırganlar genellikle bir sonraki kurbanları tespit etmek ve hedeflemek için Telegram hesaplarına erişim kullanıyorlar.

"Telgrafını dinlerlerse, HERKESE EN ACILEN SÖYLEMEN GEREKIYOR. Arkadaşlarını hacklemek [to] üzerindesin. Lütfen gururunu bir kenara bırak ve BAĞIR" diye ekledi.

Tekrarlayan bir saldırı vektörü

Son yılların en büyük kripto hırsızlıklarının arkasında olduğuna inanılan Kuzey Koreli hackerlar, 1,5 milyar dolarlık Bybit hacki de dahil, 2025 boyunca bu kötü niyetli Zoom taktiklerini giderek daha fazla yüksek profilli hedeflere sızmak için kullanıyorlar.

Eylül ayında yapılan bu tür vakalardan biri, benzer bir dolandırıcılığa kandıktan sonra yaklaşık 1,3 milyon dolar kaybettiği bildirilen THORun kurucu ortağı JP Thor ile ilgiliydi. 

Sahte Zoom görüşmesi sırasında tetiklenen kötü amaçlı bir script, iCloud deposuna erişti, MetaMask cüzdan kimlik bilgilerini çıkardı ve paralarını boşalttı; bunlara herhangi bir güvenlik uyarısı veya yönetici uyarısı gelmeden kullanıldı.

Zoom çağrılarının ötesinde, bu hackerlar Ethereum'a doğrudan kötü amaçlı yazılım gömmek ve BNB akıllı sözleşmelerine gizlice kripto para harcamak gibi karmaşık saldırı vektörleri bile kullandılar.