朝鲜网络犯罪分子在其社会工程活动中执行了战略性转变。他们通过在虚假视频会议中冒充受信任的行业人物,已窃取超过3亿美元。
MetaMask安全研究员Taylor Monahan(又称Tayvano)详细警告指出,这是一种针对加密货币高管的复杂"长期欺诈"。
赞助
赞助
朝鲜的虚假会议如何掏空加密货币钱包
据Monahan称,这次活动与最近依赖AI深度伪造的攻击有所不同。
相反,它采用了更直接的方法,基于被劫持的Telegram账户和来自真实采访的循环视频片段。
攻击通常在黑客控制受信任的Telegram账户后开始,这些账户通常属于风险投资家或受害者之前在会议上遇到过的人。
然后,恶意攻击者利用之前的聊天历史使自己看起来合法,通过伪装的Calendly链接引导受害者参加Zoom或Microsoft Teams视频通话。
一旦会议开始,受害者会看到似乎是其联系人的实时视频。实际上,这通常是从播客或公开露面中回收的录像。
赞助
赞助
决定性时刻通常在一个人为制造的技术问题之后出现。
在提到音频或视频问题后,攻击者敦促受害者通过下载特定脚本或更新软件开发工具包(SDK)来恢复连接。此时传送的文件包含恶意负载。
一旦安装,恶意软件——通常是远程访问木马(RAT)——会赋予攻击者完全控制权。
它会掏空加密货币钱包并窃取敏感数据,包括内部安全协议和Telegram会话令牌,这些随后被用来针对网络中的下一个受害者。
考虑到这一点,Monahan警告说,这种特定的攻击手段将专业礼节武器化。
黑客依靠"商务会议"的心理压力迫使判断力出现失误,将常规的故障排除请求变成致命的安全漏洞。
对于行业参与者来说,任何在通话中下载软件的请求现在都被视为主动攻击信号。
同时,这种"虚假会议"策略是朝鲜民主主义人民共和国(DPRK)行为者更广泛攻势的一部分。过去一年,他们从该行业窃取了约20亿美元,包括Bybit安全漏洞事件。
来源:https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
