Noord-Koreaanse cybercriminelen hebben een strategische wending gemaakt in hun social engineering-campagnes. Ze hebben meer dan $300 miljoen gestolen door zich voor te doen als vertrouwde figuren uit de industrie in nepvideovergaderingen.
De waarschuwing, gedetailleerd door MetaMask-beveiligingsonderzoeker Taylor Monahan (bekend als Tayvano), schetst een geavanceerde "langetermijnoplichting" gericht op crypto-executives.
Gesponsord
Gesponsord
Hoe Noord-Korea's Nepvergaderingen Cryptowallets Leegroven
Volgens Monahan wijkt de campagne af van recente aanvallen die vertrouwden op AI-deepfakes.
In plaats daarvan gebruikt het een meer rechtstreekse aanpak gebaseerd op gekraakte Telegram-accounts en herhaalde beelden van echte interviews.
De aanval begint meestal nadat hackers de controle over een vertrouwd Telegram-account overnemen, vaak van een durfkapitalist of iemand die het slachtoffer eerder op een conferentie heeft ontmoet.
Vervolgens misbruiken de kwaadwillende aanvallers eerdere chatgeschiedenis om legitiem te lijken, en leiden het slachtoffer naar een Zoom- of Microsoft Teams-videogesprek via een verhulde Calendly-link.
Zodra de vergadering begint, ziet het slachtoffer wat lijkt op een live videoverbinding met hun contact. In werkelijkheid is het vaak een hergebruikte opname van een podcast of openbaar optreden.
Gesponsord
Gesponsord
Het beslissende moment volgt meestal na een gefabriceerd technisch probleem.
Na het melden van audio- of videoproblemen dringt de aanvaller er bij het slachtoffer op aan de verbinding te herstellen door een specifiek script te downloaden of een software development kit (SDK) bij te werken. Het bestand dat op dat moment wordt geleverd, bevat de kwaadaardige payload.
Eenmaal geïnstalleerd geeft de malware—vaak een Remote Access Trojan (RAT)—de aanvaller volledige controle.
Het leegt cryptocurrency-wallets en onttrekt gevoelige gegevens, waaronder interne beveiligingsprotocollen en Telegram-sessietokens, die vervolgens worden gebruikt om het volgende slachtoffer in het netwerk te targeten.
Met dit in gedachten waarschuwde Monahan dat deze specifieke vector professionele beleefdheid als wapen gebruikt.
De hackers vertrouwen op de psychologische druk van een "zakelijke vergadering" om een beoordelingsfout af te dwingen, waardoor een routinematig probleemoplossingsverzoek verandert in een fatale beveiligingsbreuk.
Voor deelnemers in de industrie wordt elk verzoek om software te downloaden tijdens een gesprek nu beschouwd als een actief aanvalssignaal.
Ondertussen maakt deze "nepvergadering"-strategie deel uit van een bredere aanval door actoren uit de Democratische Volksrepubliek Korea (DPRK). Ze hebben naar schatting $2 miljard uit de sector gestolen in het afgelopen jaar, inclusief de Bybit-inbreuk.
Bron: https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
