Северокорейские хакеры изменили тактику атак. Теперь они используют фейковые видеозвонки. По оценкам экспертов, таким способом было украдено более $300 млн.
О новой схеме предупредила исследователь безопасности MetaMask Тейлор Монахан. Основными целями стали руководители криптокомпаний и инвестиционных фондов.
Как работает схема
Атака начинается со взлома аккаунта в Telegram. Обычно это профиль венчурного инвестора или публичного лица. Жертва уже могла общаться с этим человеком ранее.
Используя историю переписки, злоумышленники входят в доверие. Затем они приглашают цель на Zoom или Microsoft Teams. Ссылка маскируется под обычное приглашение в календаре.
Во время звонка жертве показывают «живое» видео. На самом деле это зацикленные записи из подкастов или публичных выступлений реального человека.
Заражение устройства
Ключевой момент — имитация технических проблем. Хакер жалуется на звук или видео. Затем просит «исправить» сбой.
Для этого предлагают скачать файл или обновить SDK. Именно в этом файле скрывается вредоносное ПО.
После запуска устанавливается вирус удаленного доступа (RAT). Он дает полный контроль над устройством. Хакеры получают доступ к кошелькам и конфиденциальным данным.
По словам Монахан, преступники давят на деловую вежливость. Формат «рабочей встречи» снижает бдительность. Обычная просьба выглядит безопасно.
Эта кампания — часть активности групп из КНДР. За последний год им приписывают кражу около $2 млрд в криптоиндустрии. Среди крупнейших инцидентов — взлом биржи Bybit.
Обменять криптовалюту на наличные прямо сейчас в Aifory Pro