Согласно опубликованному исследователем безопасности MetaMask Тейлором Монаханом предупреждению, северокорейские киберпреступники украли более $300 млн. с помощью сложной кампании социальной инженерии, в ходе которой они выдавали себя за доверенных деятелей отрасли в фейковых видеоконференциях.
По словам Монахана, схема нацелена на топ-менеджеров криптоиндустрии через скомпрометированные каналы связи. Атака начинается, когда хакеры получают контроль над доверенным Telegram-аккаунтом, обычно принадлежащим венчурному капиталисту или контактному лицу на конференции, известному жертве. Злоумышленники используют историю предыдущих чатов для установления легитимности, прежде чем направлять жертв на видеозвонки в Zoom или Microsoft Teams через замаскированные ссылки на календари.
Во время встречи жертвы видят то, что выглядит как прямая видеотрансляция разговора с собеседником. Согласно предупреждению, трансляция часто представляет собой переработанную запись подкаста или публичного выступления.
Атака достигает кульминации, когда злоумышленник имитирует техническую проблему. После упоминания проблем со звуком или видео, он инструктирует жертву загрузить определенный скрипт или обновить комплект разработки программного обеспечения. Файл содержит вредоносное программное обеспечение.
После установки вредоносное ПО, часто это троян удаленного доступа (RAT), предоставляет злоумышленникам полный контроль над системой. RAT опустошает криптокошельки и извлекает конфиденциальные данные, включая внутренние протоколы безопасности и токены сессий Telegram, которые затем используются для атаки на других жертв.
Монахан заявил, что эта схема использует профессиональную вежливость в качестве оружия. Он отметил, что любой запрос на загрузку софта во время звонка следует рассматривать как активный сигнал атаки.
Источник
Уникальность
