북한 사이버 범죄자들이 사회공학적 수법에서 전략적 전환을 이뤄냈습니다. 그들은 가짜 화상 회의를 통해 업계의 신뢰받는 인물들을 사칭하여 3억 달러 이상을 훔쳤습니다.
MetaMask 보안 연구원인 Taylor Monahan(Tayvano로 알려짐)이 상세히 설명한 이 경고는 암호화폐 업계 임원들을 표적으로 삼는 정교한 장기 사기 수법을 폭로합니다.
북한의 가짜 회담이 암호화폐 지갑을 어떻게 고갈시키고 있는가
모나한에 따르면, 이번 캠페인은 인공지능 딥페이크 에 의존했던 최근의 공격과는 다르다.
대신, 해킹한 텔레그램 계정 과 실제 인터뷰 영상을 반복 재생하는 보다 직관적인 접근 방식을 사용합니다.
이러한 공격은 일반적으로 해커가 신뢰할 수 있는 텔레그램 계정을 탈취한 후 시작되는데, 해당 계정은 종종 벤처 투자자나 피해자가 이전에 컨퍼런스에서 만났던 사람의 소유인 경우가 많습니다.
그런 다음 악의적인 공격자는 이전 채팅 기록을 악용하여 정상적인 것처럼 가장하고, 위장된 Calendly 링크(Chainlink) 통해 피해자를 Zoom 또는 Microsoft Teams 화상 통화로 유도합니다.
회의가 시작되면 피해자는 상대방의 실시간 영상처럼 보이는 화면을 보게 됩니다. 하지만 실제로는 팟캐스트나 공개 석상에서 녹화된 영상을 재활용한 경우가 많습니다.
결정적인 순간은 대개 인위적으로 만들어낸 기술적 문제 이후에 찾아온다.
공격자는 오디오 또는 비디오 문제를 언급하며 피해자에게 특정 스크립트를 다운로드하거나 소프트웨어 개발 키트(SDK)를 업데이트하여 연결을 복구하도록 유도합니다. 이때 전달되는 파일에는 악성 페이로드가 포함되어 있습니다.
일단 설치되면 악성코드(대부분 원격 접속 트로이목마(RAT))는 공격자에게 완전한 제어 권한을 부여합니다.
이 악성 프로그램은 암호화폐 지갑의 자금을 빼돌리고 내부 보안 프로토콜 및 텔레그램 세션 토큰을 포함한 민감한 데이터를 유출한 후, 이를 이용하여 네트워크에서 다음 희생자를 공격합니다.
이러한 점을 고려하여 모나한은 이러한 특정 방식이 전문가로서의 예의를 무기화한다고 경고했습니다 .
해커들은 "업무 회의"라는 심리적 압박감을 이용하여 판단 착오를 유발하고, 일상적인 문제 해결 요청을 치명적인 보안 침해로 둔갑시킵니다.
업계 관계자들은 이제 통화 중 소프트웨어 다운로드를 요청하는 모든 행위를 공격 신호로 간주합니다.
한편, 이러한 "가짜 회의" 전략은 북한(조선민주주의공화국) 세력 의 광범위한 공세의 일환입니다. 이들은 지난 1년 동안 바이비트(Bybit) ) 해킹 사건을 포함하여 금융 부문에서 약 20억 달러를 훔친 것으로 추정됩니다.
