Северокорейские злоумышленники снова нацелились на разработчиков и специалистов по криптовалютам, используя видеозвонки в реальном времени через Zoom, чтобы обманом заставить их установить вредоносное ПО.

Хакеры из Северной Кореи используют взломанные Telegram ID и дипфейк-видео на основе ИИ-агент для выдачи себя за знакомых контактов и доставки вредоносных нагрузок, сообщил сооснователь BTC Prague Мартин Кучарж.

«В настоящее время ведется хакерская кампания высокого уровня, нацеленная на пользователей Bitcoin и криптовалют. Я лично пострадал через взломанный Telegram ID», — написал Кучарж в X.

Согласно его сообщению, жертвы получают звонок от знакомого контакта, который изначально является захваченным Telegram ID, перехваченным злоумышленниками. Во время этих звонков в реальном времени злоумышленники притворяются другом жертвы, используя технологию дипфейка, при этом оставаясь отключенными.

Эта тишина служит приманкой, поскольку следующий этап атаки включает в себя убеждение жертвы установить плагин или файл, который якобы исправляет проблемы со звуком. На самом деле файл содержит вредоносное ПО, часто троян удаленного доступа, который предоставляет злоумышленникам полный доступ к системе после выполнения.

Как только доступ получен, злоумышленники могут просматривать все контакты Telegram и повторно использовать взломанный аккаунт, чтобы связаться со следующей жертвой таким же образом.

«Немедленно информируйте своих коллег и сеть. Не присоединяйтесь к непроверенным звонкам Zoom/Teams», — добавил Кучарж.

Исследователи безопасности из компании кибербезопасности Huntress заметили, что аналогичные атаки были запущены TA444, северокорейской группой угроз, спонсируемой государством, которая действует под управлением печально известной Lazarus Group.

Северокорейские хакеры похитили более 300 миллионов $ 

Хотя это не новый вектор атаки, северокорейские хакеры уже украли более 300 миллионов $ с использованием аналогичных методов, как предупредил исследователь безопасности MetaMask Тейлор Монахан в прошлом месяце.

Монахан предупредил, что злоумышленники часто полагаются на предыдущую историю чата, чтобы узнать больше о жертвах, прежде чем использовать это против них, чтобы завоевать их доверие.

Наиболее распространенными целями являются те, кто глубоко вовлечен в криптопространство, включая разработчиков, сотрудников бирж и руководителей компаний. В одном примере из сентября прошлого года целенаправленная атака на руководителя THORchain привела к потерям около 1,3 миллиона $ после того, как кошелек MetaMask был опустошен без каких-либо системных запросов или запросов на одобрение администратора.