Hackers norte-coreanos estão empreendendo uma campanha de US$ 300 milhões para sequestrar o Telegram, realizar chamadas falsas do Zoom e implantar malware RAT para drenar carteiras de criptomoedas.
resumo
Os invasores sequestram contas confiáveis do Telegram e usam convites de calendário falsificados para atrair executivos de criptografia para chamadas falsas do Zoom ou do Teams. Vídeos pré-gravados de atores conhecidos da indústria mascaram arquivos de “patch” contendo RATs que dão aos hackers controle completo do sistema e acesso às carteiras. O esquema faz parte de uma campanha mais ampla da Coreia do Norte que roubou mais de US$ 2 bilhões em criptomoedas, incluindo a violação recorde do Bybit.
Os cibercriminosos norte-coreanos roubaram mais de US$ 300 milhões por meio de uma sofisticada campanha de engenharia social que se passou por funcionários confiáveis da indústria em videoconferências falsas, de acordo com um alerta de segurança emitido pelo pesquisador de segurança da MetaMask, Taylor Monaghan.
Hacker norte-coreano comete ‘longo golpe’
Em seu alerta, Monaghan disse que o esquema foi descrito como uma operação “longcon” e tinha como alvo executivos de criptomoedas por meio de canais de comunicação comprometidos.
Segundo os pesquisadores, o ataque começa quando um hacker obtém o controle de uma conta confiável do Telegram, geralmente pertencente a um capitalista de risco ou executivo de conferência conhecido da vítima. Os invasores aproveitam o histórico de bate-papo anterior para estabelecer legitimidade antes de atrair as vítimas para uma videochamada Zoom ou Microsoft Teams por meio de um link de calendário falsificado.
Durante a reunião, a vítima vê o que parece ser um vídeo ao vivo do contato. O aviso diz que os feeds são frequentemente gravações reaproveitadas de podcasts e aparições públicas.
O ataque culmina quando o impostor simula um problema técnico. Após citar problemas de áudio ou vídeo, os invasores instruem as vítimas a baixar um script específico ou atualizar seu kit de desenvolvimento de software. Os pesquisadores relataram que este arquivo contém software malicioso.
Uma vez instalado, esse malware, geralmente um Trojan de acesso remoto (RAT), dá ao invasor o controle total do sistema, de acordo com o alerta. O RAT drena carteiras de criptomoedas e extrai dados confidenciais, incluindo protocolos de segurança internos e tokens de sessão do Telegram. Esses dados são usados para atingir vítimas adicionais dentro da rede.
Monaghan disse que a estratégia “arma o decoro profissional” e usa a pressão psicológica das reuniões de negócios para induzir erros de julgamento. Os pesquisadores aconselharam que as solicitações de download de software durante uma chamada devem ser consideradas um sinal de ataque ativo.
Esta estratégia de reunião falsa faz parte de uma campanha mais ampla das autoridades norte-coreanas, que roubaram cerca de US$ 2 bilhões da indústria de criptomoedas no ano passado, incluindo a violação da Bybit, de acordo com relatórios da indústria.
