Les cybercriminels nord-coréens ont effectué un pivot stratégique dans leurs campagnes d'ingénierie sociale. Ils ont volé plus de 300 millions de dollars en se faisant passer pour des personnalités de confiance de l'industrie lors de fausses réunions vidéo.
L'avertissement, détaillé par la chercheuse en sécurité de MetaMask, Taylor Monahan (connue sous le nom de Tayvano), décrit une arnaque sophistiquée à long terme ciblant les dirigeants de crypto.
Sponsorisé
Sponsorisé
Comment les fausses réunions de la Corée du Nord vident les portefeuilles de crypto
Selon Monahan, la campagne s'éloigne des attaques récentes qui s'appuyaient sur des deepfakes d'IA.
Au lieu de cela, elle utilise une approche plus directe basée sur des comptes Telegram détournés et des séquences en boucle d'interviews réelles.
L'attaque commence généralement après que les pirates ont pris le contrôle d'un compte Telegram de confiance, appartenant souvent à une entreprise de risques capitaux ou à quelqu'un que la victime a déjà rencontré lors d'une conférence.
Ensuite, les attaquants malveillants exploitent l'historique des conversations antérieures pour paraître légitimes, guidant la victime vers un appel vidéo Zoom ou Microsoft Teams via un lien Calendly déguisé.
Une fois la réunion commencée, la victime voit ce qui semble être un flux vidéo en direct de son contact. En réalité, il s'agit souvent d'un enregistrement recyclé d'un podcast ou d'une apparition publique.
Sponsorisé
Sponsorisé
Le moment décisif suit généralement un problème technique fabriqué.
Après avoir évoqué des problèmes audio ou vidéo, l'attaquant incite la victime à rétablir la connexion en téléchargeant un script spécifique ou en mettant à jour un kit de développement logiciel, ou SDK. Le fichier livré à ce moment contient la charge malveillante.
Une fois installé, le logiciel malveillant — souvent un cheval de Troie d'accès à distance (RAT) — accorde à l'attaquant un contrôle total.
Il vide les portefeuilles de crypto-monnaies et exfiltre des données sensibles, y compris les protocoles de sécurité internes et les jetons de session Telegram, qui sont ensuite utilisés pour cibler la prochaine victime dans le réseau.
Compte tenu de cela, Monahan a averti que ce vecteur spécifique transforme la courtoisie professionnelle en arme.
Les pirates s'appuient sur la pression psychologique d'une "réunion d'affaires" pour forcer une erreur de jugement, transformant une demande de dépannage de routine en une faille de sécurité fatale.
Pour les participants de l'industrie, toute demande de téléchargement de logiciel pendant un appel est désormais considérée comme un signal d'attaque active.
Pendant ce temps, cette stratégie de "fausse réunion" fait partie d'une offensive plus large des acteurs de la République populaire démocratique de Corée (RPDC). Ils ont volé environ 2 milliards de dollars au secteur au cours de l'année écoulée, y compris la violation de Bybit.
Source: https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
