Pelaku ancaman Korea Utara sekali lagi menargetkan pengembang dan profesional kripto menggunakan panggilan video langsung di Zoom untuk menipu mereka agar menginstal malware.

Peretas yang berbasis di Korea Utara menggunakan akun Telegram yang disusupi dan video AI deep fake untuk menyamar sebagai kontak yang dikenal dan mengirimkan muatan berbahaya, menurut co-founder BTC Prague Martin Kuchař.

"Kampanye peretasan tingkat tinggi saat ini menargetkan pengguna Bitcoin dan kripto. Saya secara pribadi telah terkena dampak melalui akun Telegram yang disusupi," tulis Kuchař di X.

Menurut postingannya, korban menerima panggilan dari kontak yang dikenal, yang awalnya adalah akun Telegram yang dibajak dan diambil alih oleh penyerang. Melalui panggilan langsung ini, pelaku jahat berpura-pura menjadi teman korban menggunakan teknologi deep fake, sambil tetap membisukan suara.

Keheningan ini bertindak sebagai umpan, karena tahap berikutnya dari serangan melibatkan meyakinkan korban untuk menginstal plugin atau file yang mengklaim memperbaiki masalah audio. Pada kenyataannya, file tersebut berisi malware, seringkali Remote Access Trojan, yang memberikan penyerang akses penuh ke sistem setelah dieksekusi.

Begitu akses diperoleh, penyerang dapat melihat semua kontak Telegram dan menggunakan kembali akun yang disusupi untuk menghubungi korban berikutnya dengan cara yang sama.

"Informasikan kepada rekan kerja dan jaringan Anda segera. Jangan bergabung dengan panggilan Zoom/Teams yang tidak terverifikasi," tambah Kuchař.

Peneliti keamanan di perusahaan keamanan siber Huntress telah mengamati bahwa serangan serupa telah diluncurkan oleh TA444, kelompok ancaman yang disponsori negara Korea Utara yang beroperasi di bawah Lazarus Group yang terkenal.

Peretas Korea Utara telah menguras lebih dari $300 juta 

Meskipun bukan vektor serangan baru, peretas Korea Utara telah mencuri lebih dari $300 juta menggunakan teknik serupa seperti yang diperingatkan oleh peneliti keamanan MetaMask Taylor Monahan bulan lalu.

Monahan memperingatkan bahwa penyerang sering mengandalkan riwayat obrolan sebelumnya untuk mempelajari lebih lanjut tentang korban sebelum mereka menggunakannya untuk mendapatkan kepercayaan mereka.

Target paling umum adalah mereka yang sangat terlibat dalam ruang kripto, termasuk pengembang, staf exchange, dan eksekutif perusahaan. Dalam satu contoh dari September tahun lalu, serangan yang ditargetkan terhadap eksekutif THORchain menyebabkan kerugian sekitar $1,3 juta setelah dompet MetaMask dikuras tanpa ada prompt sistem atau permintaan persetujuan administrator.