Les acteurs de menace nord-coréens ciblent à nouveau les développeurs et professionnels de cryptomonnaies en utilisant des appels vidéo en direct sur Zoom pour les inciter à installer des logiciels malveillants.

Les hackers basés en Corée du Nord utilisent des comptes Telegram compromis et des vidéos deepfake IA pour usurper l'identité de contacts connus et diffuser des charges malveillantes, selon le cofondateur de BTC Prague, Martin Kuchař.

« Une campagne de piratage de haut niveau cible actuellement les utilisateurs de Bitcoin et de crypto. J'ai été personnellement affecté via un compte Telegram compromis », a écrit Kuchař sur X.

Selon sa publication, les victimes reçoivent un appel d'un contact connu, qui est en réalité un compte Telegram détourné pris en main par les attaquants. Lors de ces appels en direct, les acteurs malveillants se font passer pour l'ami de la victime en utilisant la technologie deepfake, tout en restant muets.

Ce silence agit comme un piège, car l'étape suivante de l'attaque consiste à convaincre la victime d'installer un plugin ou un fichier qui prétend résoudre des problèmes audio. En réalité, le fichier contient un logiciel malveillant, souvent un cheval de Troie d'accès à distance, qui accorde aux attaquants un accès complet au système une fois exécuté.

Dès que l'accès est obtenu, les attaquants peuvent consulter tous les contacts Telegram et réutiliser le compte compromis pour contacter la prochaine victime de la même manière.

« Informez immédiatement vos collègues et votre réseau. Ne rejoignez aucun appel Zoom/Teams non vérifié », a ajouté Kuchař.

Les chercheurs en sécurité de la société de cybersécurité Huntress ont observé que des attaques similaires ont été lancées par TA444, un groupe de menace sponsorisé par l'État nord-coréen qui opère sous le tristement célèbre Lazarus Group.

Les hackers nord-coréens ont dérobé plus de 300 millions de dollars 

Bien qu'il ne s'agisse pas d'un nouveau vecteur d'attaque, les hackers nord-coréens ont déjà volé plus de 300 millions de dollars en utilisant des techniques similaires, comme l'a averti le chercheur en sécurité de MetaMask, Taylor Monahan, le mois dernier.

Monahan a averti que les attaquants s'appuient souvent sur l'historique des conversations précédentes pour en savoir plus sur les victimes avant de l'utiliser contre elles pour gagner leur confiance.

Les cibles les plus courantes sont celles profondément impliquées dans l'espace crypto, notamment les développeurs, le personnel des plateformes d'échange et les dirigeants d'entreprise. Dans un exemple de septembre dernier, une attaque ciblée contre un dirigeant de THORchain a entraîné des pertes d'environ 1,3 million de dollars après qu'un portefeuille MetaMask a été vidé sans aucune invite système ni demande d'approbation d'administrateur.