北韓網絡犯罪分子已在其社交工程活動中執行了戰略性轉變。他們通過在假視頻會議中冒充受信任的行業人物,已竊取了超過3億美元。
MetaMask安全研究員Taylor Monahan(又稱Tayvano)詳細警告指出,這是一種針對加密貨幣高管的複雜"長期欺詐"。
贊助
贊助
北韓的假會議如何耗盡加密貨幣錢包
根據Monahan的說法,這次活動與最近依賴AI深度偽造的攻擊有所不同。
相反,它使用了一種更直接的方法,建立在被劫持的Telegram帳戶和來自真實訪談的循環影片上。
攻擊通常在黑客奪取受信任的Telegram帳戶控制權後開始,這些帳戶通常屬於風險投資家或受害者之前在會議上見過的人。
然後,惡意攻擊者利用先前的聊天歷史來顯得合法,通過偽裝的Calendly鏈接引導受害者進入Zoom或Microsoft Teams視頻通話。
一旦會議開始,受害者會看到似乎是其聯繫人的實時視頻流。實際上,這通常是來自播客或公開露面的重複使用錄像。
贊助
贊助
決定性時刻通常伴隨著一個製造出的技術問題。
在引用音頻或視頻問題後,攻擊者敦促受害者通過下載特定腳本或更新軟件開發工具包(SDK)來恢復連接。此時傳送的文件包含惡意負載。
一旦安裝,惡意軟件——通常是遠程訪問木馬(RAT)——會授予攻擊者完全控制權。
它會耗盡加密貨幣錢包並竊取敏感數據,包括內部安全協議和Telegram會話令牌,這些隨後被用來針對網絡中的下一個受害者。
考慮到這一點,Monahan警告說,這種特定的攻擊向量將專業禮節武器化。
黑客依靠"商務會議"的心理壓力來迫使判斷失誤,將常規故障排除請求變成致命的安全漏洞。
對於行業參與者來說,任何在通話中下載軟件的請求現在都被視為主動攻擊信號。
同時,這種"假會議"策略是朝鮮民主主義人民共和國(DPRK)行為者更廣泛攻勢的一部分。他們在過去一年中從該行業竊取了估計20億美元,包括Bybit漏洞。
來源:https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
