Hacker nordcoreani stanno utilizzando false chiamate Zoom per prosciugare i portafogli di criptovalute, in quella che, secondo i ricercatori di sicurezza, è diventata una minaccia quasi quotidiana per la comunità delle criptovalute. Secondo diversi report sulla sicurezza, la campagna ha già fruttato circa 300 milioni di dollari di fondi rubati e non mostra segni di rallentamento.
Riunioni Zoom false utilizzate per prosciugare i portafogli
Secondo la Security Alliance (SEAL) e altri ricercatori, gli aggressori contattano prima le vittime tramite app di messaggistica come Telegram. Poi invitano le vittime a una videochiamata apparentemente legittima.
Durante la chiamata, gli impostori affermano che c'è un problema con l'audio o il video e offrono una "soluzione": un file o un link che sembra essere un aggiornamento ufficiale. Quando la vittima esegue il file, il malware si installa e inizia a rubare credenziali, dati del browser e chiavi crittografiche.
Ogni giorno vengono segnalati diversi attacchi, molti dei quali seguono lo stesso schema. I ricercatori affermano che queste chiamate organizzate consentono agli aggressori di aggirare la normale cautela perché le persone tendono a fidarsi di chi vedono in video.
SEAL sta monitorando i molteplici tentativi GIORNALIERI da parte di attori nordcoreani di utilizzare tattiche "Fake Zoom" per diffondere malware e aumentare il loro accesso a nuove vittime.
L'ingegneria sociale è alla base dell'attacco. Leggi il thread qui sotto per suggerimenti su come proteggerti. https://t.co/2SQGdtPKGx
— Security Alliance (@_SEAL_Org) 13 dicembre 2025
NimDoor e altri malware prendono di mira macOS e i portafogli elettronici
Secondo alcune segnalazioni, uno dei ceppi collegati a questi schemi è NimDoor , una backdoor per macOS in grado di raccogliere elementi del portachiavi, password memorizzate nel browser e dati di messaggistica.
I team di sicurezza collegano NimDoor e gli strumenti correlati a BlueNoroff , un gruppo collegato alla rete del Lazarus Group. BlueNoroff ha una lunga storia di attacchi ad aziende e exchange di criptovalute.
Una volta che il malware è in atto, i portafogli vengono svuotati in pochi minuti. Spesso le vittime scoprono il furto solo dopo aver visto le transazioni in uscita sulla blockchain.
Deepfake e inviti sul calendario rendono le truffe più convincenti
I ricercatori avvertono che gli aggressori non si limitano a usare nomi falsi. Stanno anche implementando strumenti video e vocali deepfake assistiti dall'intelligenza artificiale per impersonare dirigenti o contatti noti.
A volte gli aggressori inviano inviti al calendario che sembrano autentiche richieste di riunione da piattaforme come Calendly, indirizzando le vittime a link Zoom controllati dagli aggressori.
Il livello di ingegneria sociale fa sì che le chiamate sembrino urgenti e ufficiali, il che riduce il tempo che le vittime impiegano per chiedersi cosa viene loro chiesto di installare.
Gli aggressori prendono di mira sia i singoli individui che le piccole imprese
I rapporti hanno rivelato che le vittime includono singoli trader, dipendenti di startup e piccoli team di aziende crypto. Le perdite sono concentrate ma diffuse, con stime intorno ai 300.000.000 di dollari.
Alcune vittime hanno perso fondi legati ai portafogli del browser e ai portafogli caldi; altre hanno visto le frasi di recupero catturate e utilizzate per prosciugare i conti.
I team di sicurezza sollecitano un intervento rapido quando viene offerto un aggiornamento sospetto durante una sessione remota: avvertono di non eseguirlo, di verificarlo separatamente e di considerare le correzioni non richieste durante le riunioni come ad alto rischio.
Immagine in evidenza da Unsplash, grafico da TradingView