Los cibercriminales de Corea del Norte han ejecutado un giro estratégico en sus campañas de ingeniería social. Han robado más de $300 millones haciéndose pasar por figuras confiables de la industria en reuniones de video falsas.
La advertencia, detallada por la investigadora de seguridad de MetaMask Taylor Monahan (conocida como Tayvano), describe una sofisticada "estafa a largo plazo" dirigida a ejecutivos de cripto.
Patrocinado
Patrocinado
Cómo las reuniones falsas de Corea del Norte están vaciando las carteras de criptomonedas
Según Monahan, la campaña se aleja de los ataques recientes que dependían de deepfakes de IA.
En su lugar, utiliza un enfoque más directo basado en cuentas de Telegram secuestradas y metraje en bucle de entrevistas reales.
El ataque típicamente comienza después de que los hackers toman el control de una cuenta de Telegram confiable, a menudo perteneciente a un capitalista de riesgo o alguien con quien la víctima se reunió previamente en una conferencia.
Luego, los atacantes maliciosos explotan el historial de chat previo para parecer legítimos, guiando a la víctima a una videollamada de Zoom o Microsoft Teams a través de un enlace de Calendly disfrazado.
Una vez que comienza la reunión, la víctima ve lo que parece ser una transmisión de video en vivo de su contacto. En realidad, a menudo es una grabación reciclada de un podcast o aparición pública.
Patrocinado
Patrocinado
El momento decisivo típicamente sigue a un problema técnico fabricado.
Después de citar problemas de audio o video, el atacante insta a la víctima a restaurar la conexión descargando un script específico o actualizando un kit de desarrollo de software, o SDK. El archivo entregado en ese momento contiene la carga maliciosa.
Una vez instalado, el malware—a menudo un Troyano de Acceso Remoto (RAT)—otorga al atacante control total.
Vacía las carteras de criptomonedas y extrae datos sensibles, incluidos protocolos de seguridad internos y tokens de sesión de Telegram, que luego se utilizan para atacar a la siguiente víctima en la red.
Considerando esto, Monahan advirtió que este vector específico convierte en arma la cortesía profesional.
Los hackers dependen de la presión psicológica de una "reunión de negocios" para forzar un lapso en el juicio, convirtiendo una solicitud rutinaria de solución de problemas en una violación fatal de seguridad.
Para los participantes de la industria, cualquier solicitud para descargar software durante una llamada ahora se considera una señal de ataque activo.
Mientras tanto, esta estrategia de "reunión falsa" es parte de una ofensiva más amplia por parte de los actores de la República Popular Democrática de Corea (RPDC). Han robado un estimado de $2 mil millones del sector durante el último año, incluida la brecha de Bybit.
Fuente: https://beincrypto.com/north-korea-crypto-theft-via-zoom-meetings/
