Nordkoreanische Cyberkriminelle haben eine strategische Wende in ihren Social-Engineering-Kampagnen vollzogen. Sie haben mehr als 300 Millionen Dollar gestohlen, indem sie sich in gefälschten Videomeetings als vertrauenswürdige Branchenpersönlichkeiten ausgaben.
Die Warnung, detailliert beschrieben von MetaMask-Sicherheitsforscherin Taylor Monahan (bekannt als Tayvano), umreißt einen ausgeklügelten "Langzeitbetrug", der auf Krypto-Führungskräfte abzielt.
Gesponsert
Gesponsert
Wie Nordkoreas gefälschte Meetings Krypto-Wallets leeren
Laut Monahan unterscheidet sich die Kampagne von jüngsten Angriffen, die auf KI-Deepfakes setzten.
Stattdessen verwendet sie einen direkteren Ansatz, der auf gekaperten Telegram-Konten und Schleifenaufnahmen aus echten Interviews basiert.
Der Angriff beginnt typischerweise, nachdem Hacker die Kontrolle über ein vertrauenswürdiges Telegram-Konto übernommen haben, das oft einem Venture-Capital Unternehmen oder jemandem gehört, den das Opfer zuvor auf einer Konferenz getroffen hat.
Dann nutzen die bösartigen Angreifer den vorherigen Chatverlauf, um legitim zu erscheinen, und leiten das Opfer über einen getarnten Calendly-Link zu einem Zoom- oder Microsoft Teams-Videoanruf.
Sobald das Meeting beginnt, sieht das Opfer, was wie ein Live-Video-Feed ihres Kontakts aussieht. In Wirklichkeit handelt es sich oft um eine wiederverwendete Aufnahme aus einem Podcast oder öffentlichen Auftritt.
Gesponsert
Gesponsert
Der entscheidende Moment folgt typischerweise auf ein künstlich erzeugtes technisches Problem.
Nach dem Hinweis auf Audio- oder Videoprobleme drängt der Angreifer das Opfer, die Verbindung durch das Herunterladen eines bestimmten Skripts oder die Aktualisierung eines Software Development Kits (SDK) wiederherzustellen. Die zu diesem Zeitpunkt gelieferte Datei enthält die bösartige Nutzlast.
Nach der Installation gewährt die Malware – oft ein Remote Access Trojan (RAT) – dem Angreifer die vollständige Kontrolle.
Sie leert Kryptowährungs-Wallets und entwendet sensible Daten, einschließlich interner Sicherheitsprotokolle und Telegram-Sitzungs-Tokens, die dann verwendet werden, um das nächste Opfer im Netzwerk anzugreifen.
In Anbetracht dessen warnte Monahan, dass dieser spezifische Angriffsvektor professionelle Höflichkeit als Waffe einsetzt.
Die Hacker verlassen sich auf den psychologischen Druck eines "Geschäftsmeetings", um einen Fehlschluss zu erzwingen und eine routinemäßige Fehlerbehebungsanfrage in eine fatale Sicherheitsverletzung zu verwandeln.
Für Branchenteilnehmer gilt jede Aufforderung, während eines Anrufs Software herunterzuladen, jetzt als aktives Angriffssignal.
Unterdessen ist diese "Fake-Meeting"-Strategie Teil einer breiteren Offensive von Akteuren der Demokratischen Volksrepublik Korea (DVRK). Sie haben im vergangenen Jahr schätzungsweise 2 Milliarden Dollar aus dem Sektor gestohlen, einschließlich des Bybit-Einbruchs.
Quelle: https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
