Północnokoreański fałszywy scam Zoom szybko się rozprzestrzenia, SEAL zgłasza codzienne próby

SEAL Security Alliance poinformował, że obecnie śledzi wiele codziennych prób powiązanych z północnokoreańskim oszustwem na fałszywy Zoom.

Fałszywy atak Zoom na kryptowaluty wykorzystuje zaproszenie na spotkanie, które wygląda normalnie. Następnie przechodzi do pobrania pliku, który instaluje złośliwe oprogramowanie.

Badaczka ds. bezpieczeństwa Taylor Monahan powiedziała, że ta metoda już ukradła ponad 300 milionów dolarów. Ostrzeżenie rozprzestrzeniane jest z materiałami przypisanymi SEAL Security Alliance.

North Korean Fake Zoom Scam. Source: Taylor Monahan via X

Fałszywy atak Zoom na kryptowaluty zaczyna się od przejęcia konta na Telegramie

Północnokoreańskie oszustwo na fałszywy Zoom często zaczyna się na Telegramie. Monahan powiedziała, że pierwsza wiadomość może pochodzić z konta, które cel rozpoznaje.

Rozmowa następnie przechodzi do planu spotkania na Zoomie. Monahan powiedziała, że atakujący przesyłają link, który wygląda na prawdziwy. Dodała, że link jest „zazwyczaj zamaskowany, by wyglądał autentycznie”.

„Przed rozmową udostępniają link, który zazwyczaj jest zamaskowany, by wyglądał autentycznie,”

powiedziała Monahan. Dodała, że ofiary mogą zobaczyć „osobę + kilku jej współpracowników” podczas rozmowy.

Monahan odniosła się również do twierdzeń dotyczących wideo AI.

„Te nagrania nie są deepfake'ami, jak powszechnie się podaje,”

powiedziała. „To są prawdziwe nagrania z momentu, gdy zostali zhakowani lub z publicznych źródeł (podcasty).”

Link do złośliwego oprogramowania Zoom dostarcza malware przez plik „patch”

Podczas rozmowy Monahan powiedziała, że atakujący udają problemy z dźwiękiem. Następnie przesyłają plik „patch”, aby rozwiązać problem.

Link do złośliwego oprogramowania Zoom oraz plik „patch” są kluczowymi elementami fałszywego ataku Zoom na kryptowaluty. Monahan powiedziała, że otwarcie pliku infekuje urządzenie.

Następnie, jak powiedziała Monahan, atakujący kończą rozmowę i zachowują spokój. „Niestety, twój komputer jest już zainfekowany,” powiedziała. „Zachowują się spokojnie, by nie zostać wykrytym.”

Monahan powiedziała, że złośliwe oprogramowanie umożliwia kradzież portfeli kryptowalutowych, haseł oraz kluczy prywatnych. Dodała również, że atakujący próbują przejąć „twoje konto na Telegramie”.

Przejęcie konta na Telegramie pomaga rozszerzyć północnokoreańskie oszustwo na fałszywy Zoom

Monahan powiedziała, że przejęcie konta na Telegramie pomaga rozprzestrzeniać północnokoreańskie oszustwo na fałszywy Zoom.

Powiedziała, że atakujący wykorzystują przejęte konta na Telegramie, aby dotrzeć do zapisanych kontaktów. Ten dostęp tworzy nowe cele dla tego samego schematu phishingowego na Zoomie.

Monahan opisała wpływ na sieć ofiary wprost. „Następnie zniszczysz wszystkich swoich znajomych,” powiedziała, po opisaniu przejęcia konta na Telegramie.

„Na koniec, jeśli zhakują ci Telegrama, musisz POWIEDZIEĆ WSZYSTKIM JAK NAJSZYBCIEJ,” powiedziała Monahan. „Zaraz zhakujesz swoich znajomych. Odłóż dumę na bok i KRZYCZ o tym.”

Taylor Monahan wymienia kroki po kliknięciu w link do złośliwego oprogramowania Zoom

Monahan opisała, co zgłaszali poszkodowani po kliknięciu w link do złośliwego oprogramowania Zoom podczas północnokoreańskiego oszustwa na fałszywy Zoom.

Powiedziała, że należy odłączyć się od WiFi i wyłączyć zainfekowane urządzenie. Następnie należy użyć innego urządzenia, aby przenieść środki, zmienić hasła i włączyć uwierzytelnianie dwuskładnikowe tam, gdzie to możliwe.

Opisała również „pełne wyczyszczenie pamięci” przed ponownym użyciem zainfekowanego urządzenia. Opisała także kroki dotyczące bezpieczeństwa konta na Telegramie, w tym sprawdzenie sesji urządzeń, zakończenie innych sesji i aktualizację kontroli uwierzytelniania.

Monahan nazwała ochronę Telegrama „kluczową”, ponieważ atakujący wykorzystują przejęcie konta na Telegramie do kontynuowania łańcucha fałszywego ataku Zoom na kryptowaluty.