Nordkoreanske cyberkriminelle har ændret strategi i deres social engineering-kampagner. De har stjålet over 300 millioner dollars ved at udgive sig for at være betroede branchefolk i falske videomøder.
Advarslen, beskrevet af MetaMask-sikkerhedsforskeren Taylor Monahan (kendt som Tayvano), skitserer en sofistikeret “langtidssvindel” rettet mod crypto-chefer.
Sådan tømmer Nordkoreas falske møder crypto wallets
Ifølge Monahan adskiller denne kampagne sig fra nylige angreb, som baserede sig på AI deepfakes.
I stedet bruges en mere enkel tilgang baseret på overtagede Telegram-konti og gentagne optagelser fra reelle interviews.
Angrebet starter typisk, når hackere får fat i en betroet Telegram-konto, ofte tilhørende en venturekapitalist eller en person, som offeret tidligere har mødt ved en konference.
Herefter udnytter de ondsindede personer den tidligere chat-historik for at virke troværdige, og de får offeret guidet til et Zoom- eller Microsoft Teams-videokald via et skjult Calendly-link.
Når mødet starter, ser offeret, hvad der ligner en live video af deres kontakt. I realiteten er det ofte et genbrugt klip fra en podcast eller offentlig optræden.
Det afgørende øjeblik kommer typisk efter et iscenesat teknisk problem.
Efter at have nævnt lyd- eller videoproblemer opfordrer angriberen offeret til at genoprette forbindelsen ved at downloade et bestemt script eller opdatere et software development kit (SDK). Filen, der bliver leveret på det tidspunkt, indeholder det ondsindede program.
Når malwaren er installeret—ofte en Remote Access Trojan (RAT)—får angriberen fuld kontrol.
Den tømmer kryptovaluta-wallets og stjæler følsomme data, herunder interne sikkerhedsprotokoller og Telegram-sessionstokens, som derefter bruges til at finde næste offer i netværket.
I lyset af dette advarede Monahan om, at denne metode udnytter professionel høflighed.
Hackerne udnytter det psykologiske pres i et “forretningsmøde” til at få folk til at begå fejl, hvor en simpel support-anmodning bliver til et alvorligt sikkerhedsbrud.
For branchedeltagere betragtes enhver opfordring til at downloade software under et opkald nu som et klart advarselssignal.
Samtidig er denne “falske møde”-strategi en del af en større offensiv fra aktører fra Den Demokratiske Folkerepublik Korea (DPRK). De har stjålet anslået 2 milliarder dollars fra branchen det seneste år, herunder Bybit-bruddet.
