مجرمان سایبری کره شمالی یک چرخش استراتژیک در کمپینهای مهندسی اجتماعی خود اجرا کردهاند. آنها با جعل هویت چهرههای مورد اعتماد صنعت در جلسات ویدیویی جعلی، بیش از 300 میلیون دلار سرقت کردهاند.
این هشدار، که توسط تیلور موناهان (معروف به تایوانو)، محقق امنیتی متامسک، به تفصیل شرح داده شده است، یک "کلاهبرداری طولانی مدت" پیچیده را که مدیران ارز دیجیتال را هدف قرار میدهد، توصیف میکند.
اسپانسر شده
اسپانسر شده
چگونه جلسات جعلی کره شمالی کیف پولهای ارز دیجیتال را تخلیه میکنند
طبق گفته موناهان، این کمپین از حملات اخیری که بر دیپفیکهای هوش مصنوعی متکی بودند، فاصله میگیرد.
در عوض، از رویکردی مستقیمتر استفاده میکند که بر اساس آیدی تلگرام ربوده شده و فیلمهای حلقهای از مصاحبههای واقعی ساخته شده است.
حمله معمولاً پس از آنکه هکرها کنترل یک حساب تلگرام مورد اعتماد را به دست میگیرند، آغاز میشود، که اغلب متعلق به شرکت سرمایهگذاری خطرپذیر یا شخصی است که قربانی قبلاً در یک کنفرانس با او ملاقات کرده است.
سپس، مهاجمان بدخواه از تاریخچه چت قبلی برای ظاهر مشروع استفاده میکنند و قربانی را از طریق یک لینک مخفی Calendly به یک تماس ویدیویی Zoom یا Microsoft Teams هدایت میکنند.
هنگامی که جلسه شروع میشود، قربانی آنچه به نظر میرسد یک پخش زنده ویدیویی از مخاطب خود است را میبیند. در واقعیت، این اغلب یک ضبط بازیافت شده از یک پادکست یا حضور عمومی است.
اسپانسر شده
اسپانسر شده
لحظه تعیین کننده معمولاً پس از یک مشکل فنی ساختگی رخ میدهد.
پس از اشاره به مشکلات صوتی یا تصویری، مهاجم قربانی را ترغیب میکند تا با دانلود یک اسکریپت خاص یا بهروزرسانی یک کیت توسعه نرمافزار یا SDK، اتصال را بازیابی کند. فایلی که در آن نقطه تحویل داده میشود حاوی محموله مخرب است.
پس از نصب، بدافزار - که اغلب یک تروجان دسترسی از راه دور (RAT) است - به مهاجم کنترل کامل میدهد.
این بدافزار کیف پولهای ارز دیجیتال را تخلیه میکند و دادههای حساس، از جمله پروتکلهای امنیتی داخلی و توکنهای جلسه تلگرام را استخراج میکند، که سپس برای هدف قرار دادن قربانی بعدی در شبکه استفاده میشوند.
با توجه به این موضوع، موناهان هشدار داد که این بردار خاص، ادب حرفهای را به سلاح تبدیل میکند.
هکرها بر فشار روانی یک "جلسه کاری" تکیه میکنند تا خطای قضاوت را تحمیل کنند و یک درخواست عیبیابی معمولی را به یک نقض امنیتی مرگبار تبدیل کنند.
برای شرکتکنندگان صنعت، هر درخواست برای دانلود نرمافزار در طول یک تماس اکنون به عنوان یک سیگنال حمله فعال در نظر گرفته میشود.
در همین حال، این استراتژی "جلسه جعلی" بخشی از یک تهاجم گستردهتر توسط بازیگران جمهوری دموکراتیک خلق کره (DPRK) است. آنها در سال گذشته حدود 2 میلیارد دلار از این بخش سرقت کردهاند، از جمله نقض امنیتی Bybit.
منبع: https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
