Nordkoreanske nettkriminelle har gjort en strategisk endring i sine sosiale manipuleringskampanjer. De har stjålet mer enn $ 300 millioner ved å utgi seg for å være pålitelige bransjeprofiler i falske videomøter.
Advarselen, detaljert av sikkerhetsforsker i MetaMask Taylor Monahan (kjent som Tayvano), beskriver en sofistikert «long-con» rettet mot krypto-ledere.
Hvordan Nord-Koreas falske møter tapper krypto-lommebøker
I følge Monahan skiller denne kampanjen seg fra nylige angrep som baserer seg på AI deepfakes.
I stedet bruker de en enklere tilnærming basert på kaprede Telegram-kontoer og gjentatt opptak fra ekte intervjuer.
Angrepet starter som regel etter at hackere har overtatt en pålitelig Telegram-konto, ofte tilhørende en venturekapitalist eller noen offeret tidligere har møtt på en konferanse.
Deretter utnytter angriperne tidligere samtalehistorikk for å fremstå som legitime, og leder offeret til et Zoom- eller Microsoft Teams-videomøte via en forkledd Calendly-lenke.
Når møtet starter, ser offeret det som tilsynelatende er en direktesendt video av vedkommende kontakt. I virkeligheten er det ofte et gjenbrukt opptak fra en podkast eller offentlig opptreden.
Det avgjørende øyeblikket følger vanligvis etter et fabrikert teknisk problem.
Etter å ha oppgitt lyd- eller videoproblemer, oppfordrer angriperen offeret til å gjenopprette forbindelsen ved å laste ned et spesifikt script eller oppdatere en programvareutviklingspakke, eller SDK. Filen som leveres på dette tidspunktet inneholder det ondsinnede elementet.
Når den er installert, gir malwaren—ofte en Remote Access Trojan (RAT)—angriperen full kontroll.
Den tømmer kryptolommebøker og stjeler sensitiv informasjon, inkludert interne sikkerhetsprotokoller og Telegram session tokens, som deretter brukes til å målrette neste offer i nettverket.
I lys av dette advarte Monahan om at denne spesifikke metoden våpeniserer profesjonell høflighet.
Hackerne baserer seg på det psykologiske presset i et «forretningsmøte» for å tvinge fram feilvurderinger, slik at en rutinemessig feilsøkingsforespørsel resulterer i et katastrofalt sikkerhetsbrudd.
For bransjeaktører regnes nå enhver forespørsel om å laste ned programvare under en samtale som et tegn på et aktivt angrep.
Samtidig er denne “falske møte” strategien del av en bredere offensiv fra Den demokratiske folkerepublikken Korea (DPRK). De har stjålet anslagsvis $ 2 milliarder fra sektoren det siste året, inkludert Bybit-innbruddet.
