Gli attori di minacce nordcoreani stanno nuovamente prendendo di mira sviluppatori e professionisti del settore criptovalute utilizzando videochiamate dal vivo su Zoom per ingannarli e fargli installare malware.

Gli hacker con base in Corea del Nord stanno utilizzando account Telegram compromessi e video IA deepfake per impersonare contatti noti e distribuire payload malevoli, secondo il co-fondatore di BTC Prague Martin Kuchař.

"Una campagna di hacking di alto livello sta attualmente prendendo di mira utenti Bitcoin e crypto. Sono stato personalmente colpito tramite un account Telegram compromesso," ha scritto Kuchař su X.

Secondo il suo post, le vittime ricevono una chiamata da un contatto noto, che in origine è un account Telegram dirottato e preso in controllo dagli aggressori. Attraverso queste chiamate dal vivo, gli attori malevoli fingono di essere l'amico della vittima utilizzando la tecnologia deepfake, rimanendo nel frattempo in muto.

Questo silenzio funge da esca, poiché la fase successiva dell'attacco consiste nel convincere la vittima a installare un plugin o un file che dichiara di risolvere problemi audio. In realtà, il file contiene malware, spesso un Trojan ad accesso remoto, che garantisce agli aggressori accesso completo al sistema una volta eseguito.

Non appena l'accesso viene ottenuto, gli aggressori sono in grado di visualizzare tutti i contatti Telegram e riutilizzare l'account compromesso per raggiungere la prossima vittima nello stesso modo.

"Informate immediatamente i vostri colleghi e la vostra rete. Non partecipate a chiamate Zoom/Teams non verificate," ha aggiunto Kuchař.

I ricercatori di sicurezza della società di cybersicurezza Huntress hanno osservato che attacchi simili sono stati lanciati da TA444, un gruppo di minacce sponsorizzato dallo stato nordcoreano che opera sotto il famigerato Lazarus Group.

Gli hacker nordcoreani hanno sottratto oltre 300 milioni di dollari 

Sebbene non sia un nuovo vettore di attacco, gli hacker nordcoreani hanno già rubato oltre 300 milioni di dollari utilizzando tecniche simili come avvertito dal ricercatore di sicurezza di MetaMask Taylor Monahan il mese scorso.

Monahan ha avvertito che gli aggressori spesso si affidano alla cronologia delle chat precedenti per saperne di più sulle vittime prima di utilizzarla contro di loro per guadagnare la loro fiducia.

Gli obiettivi più comuni sono coloro che sono profondamente radicati nello spazio crypto, inclusi sviluppatori, personale degli exchange e dirigenti aziendali. In un esempio di settembre dello scorso anno, un attacco mirato contro un dirigente di THORchain ha portato a perdite di circa 1,3 milioni di dollari dopo che un wallet MetaMask è stato svuotato senza alcun prompt di sistema o richiesta di approvazione dell'amministratore.