Кіберзлочинці з Північної Кореї здійснили стратегічну зміну вектора у своїх кампаніях, заснованих на соціальній інженерії. Шляхом імітації особистостей авторитетних діячів індустрії під час фіктивних відеоконференцій їм вдалося викрасти активи на суму понад $300 млн.
Це попередження, детально викладене Тейлор Монахан, дослідницею з безпеки в MetaMask, відомою під псевдонімом Tayvano, описує складну багатоетапну шахрайську схему, спрямовану на вище керівництво криптовалютних проєктів.
КНДР спустошує криптогаманці через фейкові зустрічі
Згідно з аналізом Монахан, ця кампанія відхиляється від тактики нещодавніх атак, що значною мірою спиралися на технологію AI deepfakes (створення синтетичних медіафайлів за допомогою штучного інтелекту).
Замість цього, зловмисники застосовують прямолінійніший підхід, побудований на використанні скомпрометованих акаунтів Telegram та зациклених відеофрагментів із реальних інтерв’ю.
Зазвичай атака починається після того, як хакери отримують контроль над довіреним акаунтом у Telegram, що часто належить венчурному інвестору або особі, з якою потенційна жертва контактувала раніше, наприклад, на професійній конференції.
Далі зловмисники аналізують та використовують попередню історію листування для створення видимості легітимності, спрямовуючи об’єкт атаки на відеодзвінок у Zoom або Microsoft Teams через замасковане посилання на сервіс Calendly.
Після початку конференції жертва бачить зображення, що імітує пряму відеотрансляцію від свого співрозмовника. Насправді ж це зазвичай є заздалегідь підготовленим записом, взятим з подкасту або публічного виступу цієї особи.
Кульмінаційний момент, як правило, настає після інсценування технічної несправності.
Посилаючись на проблеми з аудіо- чи відеозв’язком, зловмисник переконує співрозмовника відновити з’єднання шляхом завантаження певного скрипту або оновлення software development kit (пакету засобів для розробки програмного забезпечення), скорочено SDK. Саме файл, отриманий на цьому етапі, містить шкідливий код.
Після інсталяції шкідливе програмне забезпечення – найчастіше Remote Access Trojan (троян віддаленого доступу), або RAT – надає атакуючій стороні повний контроль над системою.
Воно забезпечує виведення коштів з криптовалютних гаманців та ексфільтрацію (несанкціоноване вилучення) конфіденційних даних. Серед викраденої інформації можуть бути внутрішні протоколи безпеки та сесійні токени Telegram, які згодом використовуються для організації атак на наступних учасників професійної мережі жертви.
З огляду на це, Монахан застерігає, що цей специфічний вектор атаки фактично перетворює на зброю професійну етику та ввічливість.
Зловмисники розраховують на психологічний тиск, створюваний форматом «ділової зустрічі», щоб спровокувати тимчасову втрату пильності, перетворюючи стандартний запит на вирішення технічної проблеми на критичний інцидент безпеки.
Для учасників індустрії будь-яке прохання завантажити програмне забезпечення під час відеодзвінка відтепер має розглядатися як однозначний індикатор активної атаки.
Водночас ця стратегія «фіктивних зустрічей» є лише частиною ширшої наступальної кампанії, яку проводять актори, пов’язані з Корейською Народно-Демократичною Республікою (КНДР). За їхньою участю протягом останнього року із сектору було викрадено, за оцінками, $2 млрд, що включає інцидент зі зламом біржі Bybit.
