朝鮮網絡犯罪分子在其社會工程攻擊活動中進行了戰略性調整。他們通過冒充業內知名人士進行虛假視頻會議,竊取了超過3億美元。
Metamask安全研究員 Taylor Monahan(又名 Tayvano)詳細闡述了這一警告,概述了一種針對加密貨幣高管的複雜“長期騙局”。
朝鮮的虛假會議如何掏空加密貨幣錢包
莫納漢表示,此次攻擊活動與近期依賴人工智能深度偽造技術的攻擊有所不同。
相反,它採用了一種更直接的方法,利用劫持的 Telegram 帳戶和真實採訪的循環片段。
攻擊通常是在黑客控制了受信任的 Telegram 帳戶後開始的,該帳戶通常屬於風險投資家或受害者之前在會議上認識的人。
然後,惡意攻擊者會利用之前的聊天記錄來偽裝成合法用戶,通過偽裝的 Calendly 鏈接引導受害者進行 Zoom 或 Microsoft Teams 視頻通話。
會議開始後,受害者會看到看似是對方的實時視頻畫面。但實際上,這通常是從播客或公開場合錄製的舊視頻。
決定性時刻通常發生在人為製造的技術問題之後。
攻擊者先是聲稱出現音頻或視頻問題,然後誘騙受害者下載特定腳本或更新軟件開發工具包(SDK)來恢復連接。此時提供的文件包含惡意代碼。
一旦安裝,惡意軟件(通常是遠程訪問木馬 (RAT))就會賦予攻擊者完全控制權。
它會掏空加密貨幣錢包,竊取敏感數據,包括內部安全協議和 Telegram 會話令牌,然後利用這些數據來鎖定網絡中的下一個受害者。
黑客利用“商務會議”帶來的心理壓力,迫使對方判斷失誤,將例行的故障排除請求變成致命的安全漏洞。
對於業內人士而言,通話期間任何下載軟件的請求現在都被視為主動攻擊信號。
與此同時,這種“虛假會議”策略是朝鮮民主主義人民共和國(朝鮮)勢力更廣泛攻勢的一部分。據估計,過去一年裡,他們從該行業竊取了20億美元,其中包括Bybit洩露事件。
