Os cibercriminosos da Coreia do Norte executaram uma mudança estratégica nas suas campanhas de engenharia social. Eles roubaram mais de 300 milhões de dólares ao se passarem por figuras confiáveis da indústria em reuniões de vídeo falsas.
O alerta, detalhado pela pesquisadora de segurança da MetaMask, Taylor Monahan (conhecida como Tayvano), descreve um sofisticado "golpe de longo prazo" visando executivos de criptomoedas.
Patrocinado
Patrocinado
Como as reuniões falsas da Coreia do Norte estão esvaziando carteiras de criptomoedas
De acordo com Monahan, a campanha se afasta dos ataques recentes que dependiam de deepfakes de IA.
Em vez disso, utiliza uma abordagem mais direta baseada em contas do Telegram sequestradas e imagens em loop de entrevistas reais.
O ataque geralmente começa depois que os hackers assumem o controle de uma conta confiável do Telegram, frequentemente pertencente a uma sociedade de capital de risco ou alguém que a vítima conheceu anteriormente em uma conferência.
Em seguida, os atacantes maliciosos exploram o histórico de conversas anteriores para parecerem legítimos, guiando a vítima para uma videochamada no Zoom ou Microsoft Teams através de um link Calendly disfarçado.
Quando a reunião começa, a vítima vê o que parece ser uma transmissão de vídeo ao vivo do seu contato. Na realidade, é frequentemente uma gravação reciclada de um podcast ou aparição pública.
Patrocinado
Patrocinado
O momento decisivo geralmente segue um problema técnico fabricado.
Após citar problemas de áudio ou vídeo, o atacante pressiona a vítima a restaurar a conexão baixando um script específico ou atualizando um kit de desenvolvimento de software, ou SDK. O arquivo entregue nesse momento contém a carga maliciosa.
Uma vez instalado, o malware—frequentemente um Trojan de Acesso Remoto (RAT)—concede ao atacante controle total.
Ele esvazia carteiras de criptomoedas e exfiltra dados sensíveis, incluindo protocolos de segurança internos e tokens de sessão do Telegram, que são então usados para atingir a próxima vítima na rede.
Considerando isso, Monahan alertou que este vetor específico transforma a cortesia profissional em arma.
Os hackers contam com a pressão psicológica de uma "reunião de negócios" para forçar um lapso de julgamento, transformando uma solicitação rotineira de solução de problemas em uma violação fatal de segurança.
Para os participantes da indústria, qualquer solicitação para baixar software durante uma chamada é agora considerada um sinal ativo de ataque.
Enquanto isso, esta estratégia de "reunião falsa" faz parte de uma ofensiva mais ampla por parte dos atores da República Popular Democrática da Coreia (RPDC). Eles roubaram aproximadamente 2 bilhões de dólares do setor durante o último ano, incluindo a violação da Bybit.
Fonte: https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
