朝鲜网络犯罪分子在其社会工程攻击活动中进行了战略性调整。他们通过冒充业内知名人士进行虚假视频会议,窃取了超过3亿美元。
Metamask安全研究员 Taylor Monahan(又名 Tayvano)详细阐述了这一警告,概述了一种针对加密货币高管的复杂“长期骗局”。
朝鲜的虚假会议如何掏空加密货币钱包
莫纳汉表示,此次攻击活动与近期依赖人工智能深度伪造技术的攻击有所不同。
相反,它采用了一种更直接的方法,利用劫持的 Telegram 帐户和真实采访的循环片段。
攻击通常是在黑客控制了受信任的 Telegram 帐户后开始的,该帐户通常属于风险投资家或受害者之前在会议上认识的人。
然后,恶意攻击者会利用之前的聊天记录来伪装成合法用户,通过伪装的 Calendly 链接引导受害者进行 Zoom 或 Microsoft Teams 视频通话。
会议开始后,受害者会看到看似是对方的实时视频画面。但实际上,这通常是从播客或公开场合录制的旧视频。
决定性时刻通常发生在人为制造的技术问题之后。
攻击者先是声称出现音频或视频问题,然后诱骗受害者下载特定脚本或更新软件开发工具包(SDK)来恢复连接。此时提供的文件包含恶意代码。
一旦安装,恶意软件(通常是远程访问木马 (RAT))就会赋予攻击者完全控制权。
它会掏空加密货币钱包,窃取敏感数据,包括内部安全协议和 Telegram 会话令牌,然后利用这些数据来锁定网络中的下一个受害者。
黑客利用“商务会议”带来的心理压力,迫使对方判断失误,将例行的故障排除请求变成致命的安全漏洞。
对于业内人士而言,通话期间任何下载软件的请求现在都被视为主动攻击信号。
与此同时,这种“虚假会议”策略是朝鲜民主主义人民共和国(朝鲜)势力更广泛攻势的一部分。据估计,过去一年里,他们从该行业窃取了20亿美元,其中包括Bybit泄露事件。
