Noord-Koreaanse crypto-criminelen hebben hun tactiek aangepast in social engineering-campagnes. Ze hebben meer dan $300 miljoen gestolen door zich voor te doen als betrouwbare mensen uit de branche in nepvideovergaderingen.
De waarschuwing, gedeeld door MetaMask-beveiligingsonderzoeker Taylor Monahan (bekend als Tayvano), beschrijft een slimme “long-con” gericht op crypto-bestuurders.
SponsoredHoe Noord-Koreaanse nepvergaderingen crypto-wallets leegtrekken
Volgens Monahan verschilt deze aanval van recente aanvallen die gebruikmaakten van AI deepfakes.
In plaats daarvan wordt nu een eenvoudigere methode gebruikt met gehackte Telegram-accounts en herhaalde beelden uit echte interviews.
De aanval begint meestal zodra hackers de controle nemen over een vertrouwd Telegram-account, vaak van een investeerder of iemand die het slachtoffer eerder op een conferentie heeft ontmoet.
Daarna maken de aanvallers gebruik van de vorige chatgeschiedenis om echt over te komen en sturen het slachtoffer via een nep-Calendly-link naar een Zoom- of Microsoft Teams-call.
Tijdens de meeting ziet het slachtoffer wat lijkt op een live videobeeld van zijn contactpersoon. In werkelijkheid is dit vaak oude opname van bijvoorbeeld een podcast of een publieke toespraak.
Het beslissende moment komt meestal na een zogenaamd technisch probleem.
Na problemen met beeld of geluid zegt de aanvaller dat het slachtoffer de verbinding kan herstellen door een bepaald script te downloaden of een software development kit (SDK) te updaten. Dat bestand bevat vervolgens de kwaadaardige software.
Als het virus is geïnstalleerd, krijgt de hacker via de Remote Access Trojan (RAT) volledige controle.
SponsoredHierdoor worden crypto-wallets leeggehaald en gevoelige gegevens zoals interne veiligheidsprotocollen en Telegram-sessietokens gestolen. Met deze gegevens wordt het volgende slachtoffer in het netwerk aangevallen.
Met dit in gedachten waarschuwde Monahan dat deze aanvalsmethode misbruik maakt van professionele beleefdheid.
De hackers rekenen op de psychologische druk van een “zakelijke meeting” om mensen fouten te laten maken, waardoor een normaal verzoek tot probleemoplossing in een ernstig beveiligingslek verandert.
Voor mensen in de branche is elke vraag om software te downloaden tijdens een videovergadering nu een duidelijk alarmsignaal voor een aanval.
Deze “nep-meeting”-tactiek hoort bij een bredere aanvalsgolf van Democratic People’s Republic of Korea (DPRK) groepen. Zij hebben het afgelopen jaar naar schatting $2 miljard uit de sector gestolen, waaronder de Bybit-hack.
